Publicerad: 2021-04-12
Följ länken och anmäl dig till vårt frukostwebbinarium om riktlinjerna den 29 april: https://mailchi.mp/zeb.se/eiopa-ikt-webbinarium
De senaste decennierna har inneburit en digital utveckling som medfört stora möjligheter för finansbranschen. Informations- och kommunikationsteknik (IKT) har fått en avgörande betydelse för driften av typiska dagliga arbetsuppgifter och funktioner i alla delar inom den finansiella sektorn.
I takt med digitaliseringens framfart, ökad komplexitet och en alltmer uppkopplad värld har risken för störningar i IT-miljö och cyberhot ökat avsevärt. Sammanläkningen i den finansiella marknaden utgör en systematisk sårbarhet då lokala cyberincidenter snabbt kan sprida sig obehindrat av geografiska gränser. Internationella valutafonden (IMF) uppskattar att en förlust från cyberattacker kan uppgå till ca 30 % av nettoomsättningen i den finansiella sektorn. Cyberrisker ses således som ett av de största hoten mot den finansiella systemet och kan innebära enorma kostnader för enskilda bolag.
För att nå en samstämmighet inom finansbranschens hantering av IKT-risker och säkerhetsrisker (nedan IKT-risker) har man sett ett behov av detaljreglering, då det i dagens regelverk inte har funnits specifikt uttalade krav. Flertal lagförslag och andra initiativ har därför presenterats för att stärka finanssektorns motståndskraft och för att skapa harmonisering. Till exempel har regelverk för hantering av IKT-risker från EBA redan trätt i kraft.
Den 1 juli 2021 ska Eiopas riktlinjer för säkerhet och företagsstyrning avseende informations- och kommunikationsteknik träda i kraft. Riktlinjerna fyller ut de allmänna kraven på företagsstyrningssystemet i Solvens 2-regelverket och ska ses som ett komplement till redan befintliga riktlinjer från Eiopa om företagsstyrningssystem och om uppdragsavtal med molntjänstleverantörer.
Allmänt om riktlinjerna
Riktlinjerna är väldigt omfattande och detaljrika och berör olika nivåer av ett företags verksamhet. De innehåller detaljerade krav inom områden som sträcker sig från företagsstyrning och strategi till tekniska säkerhetsåtgärder. Vid en första anblick kan känslan vara att det krävs mycket tid och resurser för att anpassa sin verksamhet till reglerna. Hur omfattande åtgärder ett företag måste vidta är dock inte lätt att besvara.
Riktlinjerna visar tydligt på styrelsens involvering och ansvar för att anpassa företagsstyrningssystemet, öka kunskapen och säkerställa hanteringen av IKT-risker. Hanteringen av IKT-risker ska inte fortsättningsvis vara något som sker i silos inom en IT-avdelning, utan över hela verksamheten på olika nivåer.
Det kan vara värt att nämna att riktlinjerna ska ses som allmänna råd, vilket innebär att syftet med reglerna ska uppfyllas. Det går att motivera att syftet uppfylls på annat sätt än på det sätt riktlinjerna anger, men denna övning kan vara utmanande i sig. Mindre eller enklare företag kan välja en förenklad anpassning till riktlinjerna, genom att det finns möjlighet att tillämpas dessa proportionellt beroende av verksamhetens omfattning, komplexitet och risker. Om företaget väljer en förenklad anpassning bör det se till att det finns skriftliga motiveringar dokumenterade på förhand.
Riktlinjernas innehåll
I grova drag består riktlinjerna av regler om
- policy och strategi,
- riskramverk,
- informationssäkerhet,
- IKT-verksamhet,
- Incidenthantering,
- IKT-projekt och ändringshantering,
- beredskap och kontinuitet, samt om
- utläggning av IKT-verksamhet.
Börja med att kartlägga behov
Alla företag med IT-verksamhet har idag på något sätt IKT- och säkerhetsrisker på agendan. Med stor sannolikhet finns delar av det riktlinjerna berör redan på plats. Riktlinjerna har stora likheter med standarden ISO 27001 och vissa större företag har därmed arbetat länge med frågorna och vävt in hanteringen i dess företagsstyrningssystem. Som ett första steg är det därför lämpligt att börja med att kartlägga kraven i riktlinjerna och analysera dessa mot vad som redan finns på plats för att utreda behov av åtgärder.
Givetvis kommer företag ha olika ambitionsnivåer i sitt implementationsarbete. Målsättningen bör oavsett ambition vara att bygga välfungerande riskbaserat ledningssystem för informationssäkerhet. Ett sådant system innehåller några grundläggande steg i en kontinuerlig cyklisk process, nämligen: identifiering, kontroll, övervakning och förbättring. Dokumentation, kommunikation och rapportering är viktiga komponenter för att få detta att fungera över hela verksamheten.
I analysarbetet är det viktigt att beakta den befintliga styrningen av verksamheten, dess riskhantering, säkerhetsarbete, IT-förvaltning och utveckling, med mera. Det ställer därmed krav på förståelse för hur föremålen för riktlinjerna ska hänga ihop och fungera med övriga delar av företagets verksamhet och redan befintlig hantering på området. Det innebär att analysen inte bör genomföras självständigt av en person eller funktion, utan som ett samarbete mellan olika kompetenser och berörda delar av företaget. Exempel på naturliga deltagare är goda representanter från IT och säkerhetsavdelningar, regelefterlevnad- och riskhanteringsfunktionen.
Flera av kraven handlar om att dokumentera styrning och kontroll i olika former. Det ska finnas en policy, IKT-strategi, riskbedömningar, processer, tester, kontroller, revisioner, beredskapsplaner och annat som bör finnas skriftligen. Detta ställer därmed höga krav på ordning och reda och förmåga att skriva lättbegripliga styrdokument, mallar etc. Att ta fram metoder och skapa välintegrerade styrdokument och processer som fungerar i praktiken är inte lätt. Även här handlar det inte alltid om att skapa något nytt, utan att på ett strukturerat vis bygga på det som redan finns och komplettera vid behov för att på så sätt uppnå ett sammanhängande ramverk för informationssäkerhet.
Axplock ur riktlinjerna
Nedan berör vi i korthet upp några delar av riktlinjerna.
Enligt riktlinjerna ska en oberoende och objektiv funktion för informationssäkerhet finnas. Typiska uppgifter för funktionen är bland annat att rapportera till styrelsen och att övervaka, stödja och utvärdera införandet av säkerhetsåtgärder. Idag har många företag en funktion (t.ex. CISO) eller del av IT-avdelningen som arbetar med IT- och informationssäkerhet. I vissa fall verkar dessa i den så kallade första försvarslinjen och inte med det oberoende och objektivitet som krävs enligt riktlinjerna. Det kan vara utmanande att balansera uppgifter och roller i den allt växande skaran av oberoende funktioner. Utöver att informationssäkerhetsfunktionen kommer att ha en nära relation till första linjens IT- och säkerhetsavdelning, kommer funktionen att ha beröringspunkter med riskhanteringsfunktionen, regelefterlevnadsfunktionen, datasskyddsombud och internrevision.
IKT-risker ska vara en del av och hanteras i det befintliga riskhanteringssystemet och enligt den övergripande riskstrategin. Företag behöver genomföra en kartläggning av aktiviteter, processer, IT komponenter med mera och klassificeras dessa efter väsentlighet för att sedan identifiera och mäta IKT-risker och hur dessa sinsemellan förhåller sig. Mot bakgrund av det ska företagen utvärdera vilken nivå av skyddsåtgärder som krävs för att åtminstone upprätthålla sina viktigaste informationstillgångars konfidentialitet, integritet och tillgänglighet. Hot och sårbarheter ska utvärderas regelbundet och särskilt i samband med större förändringar. Resultatet av processen ska godkännas av styrelsen – som ska beslutat särskilda risktoleransnivåer – och vara en del av hanteringen av operativa risker.
En central del av riktlinjerna handlar om säkerhetsåtgärder i olika former samt att ha processer för att upprätthålla säkerheten. Riktlinjerna uppställer en rad minimiåtgärder som rör identitet och åtkomst, fysisk säkerhet och säkerhet för den operativa verksamheten som ska finnas på plats. Riktlinjerna är teknikneutrala och därmed måste företagen ta ställning till hur det bäst åstadkommer tillfredställande säkerhetsnivåer inom respektive område. Eftersom säkerhetshot och metoder för angrepp ständigt förändras krävs att detta kontinuerligt övervakas och testas. Kritiska system kommer till exempel att behöva testas årligen. Detta blir resurskrävande, vilket innebär att det är viktigt att få välfungerande processer och metoder på plats och att löpande kompetensutveckling sker.
Ovan berördes bara några delar av riktlinjerna och dessutom på hög nivå. För att följa riktlinjerna krävs en hel del av företagen och en plan för hur det ska åstadkommas.
zeb kan hjälpa ert företag att anpassa sin verksamhet till riktlinjerna
zeb har redan genomfört IKT-och säkerhetsprojekt för flera finansiella företag. Med vår mångåriga erfarenhet av implementeringsprojekt av regelverk på finansmarknaden kan vi ge råd och bistå med anpassning till de nya riktlinjerna. Med ett holistiskt perspektiv som innefattar IT, data, riskhantering och regelefterlevnad är zeb en flexibel och pålitlig samarbetspartner som kan skräddarsy lösningar beroende av just er verksamhets specifika behov och utmaningar.
Hör gärna av er om ni vill veta mer!
DELA
