Las pruebas de ciber-resiliencia del BCE se podrán en marcha en 2024

Las pruebas de ciber-resiliencia del BCE se podrán en marcha en 2024

ODF – Funcas 1 / 2024

Fecha: 10 enero 2024

EL DATO
 
Los ataques de ransomware a empresas de servicios financieros han aumentado del 55% en 2022 al 64% en 2023, casi el doble del 34 % reportado en 2021[i].

Prueba de estrés de ciberresiliencia

La primera semana de enero de 2024, el Banco Central Europeo anunció que este año se llevará a cabo una prueba de resistencia cibernética a 109 bancos de la Eurozona[ii]. Se trata de la "Prueba de estrés de ciber-resiliencia 2024", como la ha venido a denominar el BCE. Su puesta en marcha era esperada a la vista de la importancia de los riesgos cibernéticos y de las tecnologías de la información y la comunicación para la gestión del riesgo operativo de los bancos. En concreto, la prueba de estrés cibernético evaluará la resiliencia operativa de los sistemas bancarios ante eventos de ciberseguridad graves pero plausibles.

¿En qué consiste?

Según el BCE, el ejercicio valorará cómo los bancos responden y se recuperan de un ciberataque, en lugar de su capacidad para prevenirlo. En la fase de prueba de resistencia, el ciberataque interferirá con las operaciones diarias del banco. En este contexto, los bancos probarán sus estrategias de respuesta y recuperación, especificando la activación de procedimientos de emergencia y planes alternativos para restaurar las operaciones habituales. La prueba de resistencia requiere que los bancos identifiquen el impacto y las consecuencias de tal escenario en su organización e informen al respecto a la autoridad supervisora. Posteriormente, los supervisores evaluarán la capacidad de los bancos para lidiar con este tipo de ciberataques.

Una prueba con dos niveles

La prueba tiene una estructura de dos niveles y distingue entre un enfoque simplificado y uno ampliado. En el simplificado, los 109 bancos deben completar el cuestionario en un plazo de dos meses, proporcionar los resultados correspondientes y presentar un informe de incidente cibernético al BCE. El enfoque ampliado consistirá en una evaluación mejorada para la cual las entidades seleccionadas presentarán información adicional sobre cómo afrontaron el ciberataque. Afectará a 28 entidades de crédito y estipula que los bancos realicen realmente pruebas de recuperación adaptadas al escenario diseñado. Se deberán proporcionar registros detallados de las actividades y resultados para acreditar que se han realizado las pruebas. Luego serán analizadas por la autoridad de control en una validación in situ.

Sin impacto en el capital exigido

El BCE ha anunciado que esta prueba de ciberresiliencia, predominantemente cualitativa, no tendrá impacto en el capital exigido a las entidades financieras. Más bien, los conocimientos adquiridos se utilizarán para una evaluación supervisora más amplia en 2024. Los supervisores discutirán los hallazgos y las lecciones aprendidas con cada banco como parte del Proceso de Revisión y Evaluación Supervisora de 2024, que analiza el perfil de riesgo individual de un banco. Los principales resultados de estos tests se comunicarán en el verano de 2024.

[i] Cyber Attacks on Financial Institutions | Why Banks Are Caught in the Crosshairs. Sentinelone. 22 agosto 2023.
https://www.sentinelone.com/blog/a-cyberwar-on-financial-institutions-why-banks-are-caught-in-the-crosshairs/

[ii] ECB to stress test banks’ ability to recover from cyberattack. BCE. 3 enero 2024. https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240103~a26e1930b0.en.html

Descarga Newsletter (formato PDF)

Funcas

Think tank dedicado a la investigación económica y social

Contacto
C/ Caballero de Gracia, 28 | 28013 Madrid, España
+34 91 596 57 18 | funcas@funcas.es
Síguenos
Send this to a friend