Az ESA publikálta Közös Közleményét az Információs és kommunikációs technológiai (ICT) kockázatok kezeléséről és kiberbiztonságról

2019. április 10., szerda

Az Európai Felügyeleti Hatóságok (ESA-k) két közös állásfoglalást tett közzé válaszként az Európai Bizottság kéréseire, amelyeket a Bizottság a 2018 márciusában megjelent FinTech Akciótervében fogalmazott meg:

• Az információs és kommunikációs technológiával (ICT) kapcsolatos kockázatok kezelési követelményeit érintő jogalkotási fejlesztésre vonatkozó közös állásfoglalás az Európai Unió (EU) pénzügyi szektorában [link]
• Közös állásfoglalás egy koherens, kibertámadásokkal szembeni ellenállóképességet vizsgáló tesztkörnyezet költséghatékonyságáról jelentős piaci szereplők és infrastruktúrák szempontjából az EU pénzügyi szektorán belül [link]

A jogalkotás fejlesztésére vonatkozóan, a Közös Állásfoglalás kidolgozásakor az ESA-k célja az volt, hogy minden érintett szervezetre és cégre egyértelmű, általános, ICT irányítási - beleértve a kiberbiztonságot is követelmények vonatkozzanak - a szabályozott szolgáltatások biztosítása érdekében. E cél által vezérelve, az Állásfoglalásban ismertetett javaslatok a nagyobb mértékű, működés közbeni ellenállóképességet és harmonizációt tűzik ki célul az EU pénzügyi szektorán belül, az érintett szektorra vonatkozó joganyagok módosítása által. Az ICT-kockázatkezelés egyik lényeges eleme az események bejelentése, amely lehetővé teszi az érintett szervezet és a hatóságok számára az ICT-működéssel, -biztonsággal vagy az azt érintő csalással kapcsolatos esetek naplózását, követését, elemzését, illetve hogy azokra reagálhassanak. Ennek megfelelően az ESA-k a bejelentési rendszer ésszerűsítését kérik a pénzügyi szektor egészén belül. Ezenkívül, az ESA-k javaslata szerint, fontolóra kellene venni egy jogalkotói keretrendszer megteremtését a megfelelő szintű felügyelet biztosítása érdekében a kritikus külső szolgáltatók tevékenységének ellenőrzésére.

A koherens kibertámadásokkal szembeni ellenálló képességet vizsgáló tesztkörnyezet költséghatékonyságát illetően az ESA-k látják az ilyen keretrendszer által kínált egyértelmű előnyöket. Jelenleg azonban a pénzügyi szektorokon belül jelentős különbségek állnak fenn a kiberbiztonság fejlettségi szintjét illetően. Rövid távon az ESA-k javasolják az kibertámadásokkal szembeni ellenálló képesség minimális szintjének megteremtését az egyes szektorok között, az érintett szervezetek igényeinek és jellemzőinek megfelelő mértékben. Az ESA-k továbbá javasolják egy egységes, egész EU-ra érvényes tesztkörnyezet kialakítását, önkéntes alapon, más érintett hatóságokkal közösen, figyelembe véve a már meglévő kezdeményezéseket, különös figyelemmel a Fenyegetés alapú támadás tesztelésre (TLPT). Hosszú távon az ESA-k célja a megfelelő mértékű kiberbiztonsági szint biztosítása az azonosított szektorok közötti szervezetek számára.

A javasolt intézkedések megvalósítása érdekében az ESA-k kiemelték a szükséges jogalap és a kifejezett felhatalmazás meglétének fontosságát, amely elengedhetetlen az ESA-k számára ahhoz, hogy más hatóságokkal együttműködésben az egész pénzügyi szektorra kiterjedő, koherens, támadásokkal szembeni ellenálló képességet vizsgáló tesztkörnyezet kifejlesztéséhez és megvalósításához.

Háttér

Az Európai Bizottság 2018. márciusi FinTech akciótervében a következőkre kéri az ESA-kat:

• 2019 első negyedévére térképezzék fel a már meglévő felügyeleti gyakorlatokat, a pénzügyi szektor egészén belül, az ICT-biztonságot és az irányítási követelményeket illetően, és ahol szükséges a) vegyék fontolóra a felügyeleti felzárkózást, az ITC-kockázatkezelés végrehajtását, valamint az EU pénzügyi szektorában enyhítést célzó követelményeket érintő iránymutatás kibocsátását, továbbá b) amennyiben szükséges, adjon a Bizottságnak a jogalkotás javítására vonatkozó műszaki tanácsokat
• 2018 negyedik negyedévére (jelenleg 2019 első negyedéve van), a koherens kibertámadásokkal szembeni ellenállóképességet vizsgáló tesztkörnyezet költséghatékonysági vizsgálatának lefolytatása a jelentős piaci szereplők és infrastruktúrák szempontjából az EU pénzügyi szektorának egészén belül.

Kapcsolódó link:
A Közös Bizottság weboldala

Kapcsolódó dokumentumok:
Az ESA-k Közös javaslata egy koherens kibertámadásokkal szembeni ellenállóképességet vizsgáló tesztkörnyezettel kapcsolatban
Az ESA-k Közös javaslata az ICT jogalkotás javításával kapcsolatban
Az ESA-k angol nyelvű közös közleménye