Autoritatea bancară a UE spune că băncile sunt mai bine pregătite pentru riscuri IT, dar trebuie să continue investițiile

Economistul Revista
-
0
Autoritatea bancară a UE spune că băncile sunt mai bine pregătite pentru riscuri IT, dar trebuie să continue investițiile
EBA arată că supravegherea riscurilor IT și de securitate cibernetică în bănci s a consolidat după aplicarea DORA, iar evaluarea ICT va fi integrată în noul cadru SREP.

Autoritatea Bancară Europeană a publicat raportul de follow up la peer review ul din 2022 privind evaluarea riscului ICT în cadrul procesului de supraveghere SREP, arătând că autoritățile naționale au făcut progrese notabile, în principal datorită aplicării DORA din ianuarie 2025, și că evaluarea riscului ICT este integrată în ghidurile SREP revizuite care vor înlocui ghidurile dedicate.

Pe scurt

  1. Raportul EBA constată progrese notabile în evaluarea riscului ICT în supravegherea bancară, pe fondul aplicării DORA din ianuarie 2025.

  2. Ghidurile ICT SREP vor fi abrogate și integrate în ghidurile SREP revizuite, ca parte a simplificării și a unei evaluări unificate a riscului operațional.

  3. Autoritățile au întărit capacitatea de supraveghere ICT prin echipe dedicate, recrutare de specialiști și programe de formare.

  4. Analizele orizontale, benchmarking ul și utilizarea instrumentelor automate au devenit mai sistematice, inclusiv pentru raportarea incidentelor și monitorizarea furnizorilor ICT terți.

  5. EBA indică faptul că peste 2000 de supraveghetori au fost instruiți prin EU Supervisory Digital Finance Academy, ca parte a creșterii capacității la nivelul UE.

Raportul precizează că DORA a stabilit un cadru unificat și direct aplicabil pentru reziliența operațională digitală în sectorul financiar, cu cerințe armonizate privind guvernanța riscului ICT, raportarea incidentelor, testarea rezilienței și gestionarea riscului legat de furnizori ICT, inclusiv un regim nou de supraveghere pentru furnizorii critici. EBA arată că acest cadru a schimbat substanțial peisajul supravegherii față de momentul peer review ului inițial.

Pentru public, riscul ICT înseamnă riscurile generate de dependența băncilor de sisteme informatice, rețele și furnizori de servicii digitale, inclusiv atacuri cibernetice, întreruperi ale serviciilor IT, breșe de securitate, erori de sistem sau probleme în relația cu furnizori externi, cum ar fi servicii cloud. În logica supravegherii prudențiale, astfel de riscuri pot afecta continuitatea operațiunilor unei bănci, calitatea serviciilor și, în cazuri severe, stabilitatea financiară.

EBA notează că, în urma recomandărilor din 2022 și a implementării DORA, autoritățile competente au investit în consolidarea capacității și expertizei ICT, inclusiv prin crearea de echipe dedicate și programe țintite de training pentru personalul de supraveghere. Raportul menționează că EU Supervisory Digital Finance Academy, o inițiativă lansată în 2022 cu sprijinul Comisiei și al autorităților europene de supraveghere, a instruit până acum peste 2000 de supraveghetori din 44 de autorități naționale, acoperind toate cele 27 de state membre.

Pe partea de metode și instrumente, raportul arată că analizele orizontale au câștigat teren, inclusiv prin sondaje sectoriale, benchmarking și exerciții legate de raportarea incidentelor, pentru a identifica tipare recurente și vulnerabilități sistemice. De asemenea, colectarea registrelor de informații privind serviciile ICT contractate de instituțiile de credit a fost realizată anual la nivelul UE, oferind supraveghetorilor o imagine agregată asupra dependențelor față de furnizorii terți.

În plan metodologic, raportul indică faptul că integrarea riscului ICT în ghidurile SREP revizuite va muta evaluarea dintr un cadru separat într o evaluare consolidată a riscului operațional, cu accent mai mare pe riscul de terți și guvernanță, și cu referire directă la cerințele DORA. EBA semnalează însă că maturitatea deplină a acestor practici nu este încă atinsă, iar unele zone necesită eforturi suplimentare pentru convergență, inclusiv integrarea completă a metodologiilor și a sub categoriilor de risc în manualele și procesele de supraveghere.

Raportul este un follow up la peer review ul EBA din 2022 privind evaluarea riscului ICT în cadrul SREP. Între timp, DORA a devenit aplicabil din ianuarie 2025 și a introdus cerințe obligatorii pentru reziliența operațională digitală în întreg sectorul financiar al UE. În paralel, EBA pregătește ghiduri SREP revizuite care includ riscul ICT în evaluarea riscului operațional, cu scopul de a crește convergența supravegherii și de a reduce fragmentarea metodologică între autorități.

Economistul Revista
Economistul Revista