Den digitala säkerheten blir allt viktigare för hela vårt samhälle, men samtidigt ökar cyberincidenterna och attackerna blir också allt mer sofistikerade.
Inom bank- och finansområdet har säkerhetsfrågorna stor betydelse och från EU kommer därför nu nya riktlinjer som ska bidra till en stärkt cybersäkerhet inom branschen.
– De här nya riktlinjerna från den europeiska bankmyndigheten (EBA) kommer att bli europeisk standard för hantering av säkerhets- och it-risker. Eftersom förändringen börjar gälla redan den 30 juni i år, så är det nu hög tid se över den egna statusen och implementera reglerna. Det är också viktigt att känna till att riktlinjerna gäller oavsett storlek på bolag, säger Baris Färnman, ansvarig cybersäkerhet inom finansbranschen, PwC.
I korthet så beskriver de nya riktlinjerna hur banker, fondbolag och leverantörer av betalningstjänster inom EU ska hantera sina interna och externa risker när det gäller it- och säkerhetsrisker. Allt för att minska sannolikheten för potentiella cyberincidenter som attacker, dataläckor, intrång och avbrott. Riktlinjerna kompletterar de regler som idag finns i det så kallade PSD2-regelverket och utökar de föreskrifter från Finansinspektionen som funnits sedan 2014 och 2018.
– Det räcker inte längre att bara kunna visa på att säkerhetsåtgärder uppfylls. Nu behöver organisationerna även genomföra konkreta tester som visar på hur cybersäkerheten stärks såväl i den egna verksamheten som för till exempel kunder och leverantörer, menar Sofie Åberg, specialist cybersäkerhet PwC och fortsätter;
– Parallellt med de här riktlinjerna så har EBA på senare tid även lagt större fokus på risker vid utkontraktering inom finansbranschen. Här handlar det om att ta kontroll över cyberrisker när det gäller uppdragsavtal med leverantörer och hur outsourcing ska hanteras.
Så påverkar de nya reglerna branschen
PwC:s experter inom cybersäkerhet har utefter erfarenhet identifierat de huvudsakliga utmaningarna för organisationer inom bank- och finansområdet. Följande tre steg är viktiga för att hantera de nya riktlinjerna för cybersäkerhet på rätt sätt.
1. Hög tid att göra en nulägesanalys
Eftersom reglerna börjar gälla redan vid halvårsskiftet är det viktigt att snabbt börja med att göra en bedömning av statusen i hela organisationen, kontrollfunktioner och processer och att sedan göra en analys över gapet mellan nuläget och de nya riktlinjerna, för att få en bild av er beredskap.
2. Viktigt att sätta tydliga målsättningar
Utveckla era mål med anpassningen till riktlinjerna och rikta in er på de områden som ska prioriteras. På så sätt kan ni fokusera organisationens insatser och resurser till att täppa till tydliga luckor och de största riskområdena.
3. Fokusera på att skapa rätt rapportering
Sist men inte minst så handlar det om att ta fram en systematisk plan för rapportering av cybersäkerhetsarbetet utefter de nya riktlinjerna.
– Det handlar till exempel om att utveckla en rapporteringsram för cyberrisker. Rapporteringen ska sedan vara en grund för ledning och styrelse att hållas uppdaterade och vara delaktiga i de riskbeslut som behövs, till exempel om investeringar för ökad cybersäkerhet, menar Sofie Åberg och avslutar;
– Finansbranschen har länge varit föregångare inom risk- och säkerhetsområdet. Med de nya europeiska krafttagen kombinerat med Finansinspektionens kommande föreskrifter, finns det goda förutsättningar för att branschen fortsätter gå i främsta säkerhetsledet. Men det kommer att krävas betydande insatser för att leva upp till kraven och det är som sagt hög tid att säkerställa rätt hantering.