Der EZB Cyber Resilience Stresstest 2024

EZB formuliert zentrale Erkenntnisse | Implikationen für DORA und die nationale Aufsichtspraxis

Mit dem erstmalig in der ersten Jahreshälfte durchgeführten Cyber Resilience Stresstest hat die EZB die Widerstandsfähigkeit der 109 von ihr direkt beaufsichtigten Institute bei einer Cyberattacke untersucht. Dabei stand explizit nicht die Fähigkeit der Banken im Blickpunkt, potenzielle Angriffsversuchen standzuhalten. Vielmehr sollten die Institute mittels eines umfassenden Fragebogens darlegen, wie bei einem erfolgreichen Angriff ihre Reaktions- und Wiederherstellungsmaßnahmen greifen – von der Aktivierung der Notfallpläne bis zur Wiederherstellung des normalen Betriebs.

Cyber Resilience Stresstest

Am 26.07.2024 veröffentlichte die EZB nun ihre Hauptergebnisse aus diesem Stresstest. Laut Aufsicht verfügen die Banken zwar über Reaktions- und Wiederherstellungsrahmen. In manchen Bereichen sieht die EZB allerdings noch Verbesserungsbedarf. Dieser wird in den individuellen aufsichtlichen SREP (Supervisory Review and Evaluation Process – SREP) Überprüfungs- und Bewertungsprozess einfließen. Es drohen also keine unmittelbaren Strafen.

Anneli Tuominen, ein Mitglied des Aufsichtsgremiums der EZB, kündigte zudem an, auf den gewonnenen Erfahrungen aus dem Stresstest aufbauen zu wollen, indem zukünftig der Einsatz ähnlicher Aufsichtspraktiken und -übungen zu Cyber-Risiken anstrebt werde. Es ist anzunehmen, dass die BaFin die Widerstandskraft gegenüber Cyber-Attacken generell in die deutsche Aufsichtspraxis – unabhängig von der Institutsgröße - aufnehmen und hierfür Teile des EZB-Stresstests aufgreifen wird.

Dies erhält insbesondere vor dem Inkrafttreten von DORA (Digital Operational Resilience Act) Ende Januar 2025 ein größeres Gewicht. Das DORA-Rahmenwerk verpflichtet Finanzinstitute dazu, einen soliden Rahmen für das IKT-Risikomanagement zu etablieren und aufrechtzuerhalten, regelmäßige Tests der relevanten Funktionen, Prozesse und Pläne durchzuführen und die betriebliche Widerstandsfähigkeit gegen digitale Störungen zu gewährleisten.

Die Brisanz von Cyberattacken wird auch durch Ereignisse wie die im Juli von Crowdstrike verursachten weltweiten Betriebsausfälle deutlich. Es lohnt sich, die Sicherheit regelmäßig zu überprüfen und zu verbessern.

Ihr Nutzen

Unser interdisziplinäres Expertenteam hilft Ihnen gerne, die vielseitigen Herausforderungen von heute und morgen gemeinsam zu meistern und komplexe Aufgaben effizient zu lösen. Mit unserem breiten Wissen und unserer Erfahrung beraten wir Sie zukunftssicher, prüfen Sie kompetent und erarbeiten passgenau auf Ihre Bedürfnisse zugeschnittene Lösungsvorschläge.

Sprechen Sie uns gerne dazu an!