Cyberhot i den finansiella sektorn

Finansinspektionen (”FI”) publicerade den 9 maj nyheter om cyberhot i den finansiella sektorn. FI fastslår att den finansiella sektorn snabbt måste bli bättre på att förebygga och hantera cyberhot. Vidare behöver kunder och samhället i stort kunna lita på att de finansiella företagens samhällsviktiga tjänster fungerar, även i tider av större osäkerhet och hot.

För att hantera detta föreslår FI flertalet åtgärder vilket alla är intressanta att diskutera samt vilken påverkan de kommer att ha på branschen. Sammanfattningsvis består dessa åtgärder av att:

Tillsynen inom cyberområdet ökar markant

Här kommer FI utarbeta en tillsynsstrategi för mer genomgripande och frekvent tillsyn (inkl. nya tillsynsmetoder). Denna punkt omfattar också ett förslag där FI föreslår att de ges ett rättsligt mandat att motsätta sig avtal om utlagd kritisk verksamhet.

Detta är förväntat i och med de nya föreslagna regleringarna inom området i form av DORA-förordningen och NIS2-direktivet som kommer att kräva en mer omfattande tillsyn. FCG bedömer att det är positivt med en ökad tillsyn, då detta leder till ökat gemensamt skydd och kommer att drivautvecklingen av ”best practice” inom området.

Försvarets Radioanstalt (”FRA”) får bistå företag inom den finansiella sektorn med cybersäkerhetsskydd

Detta ser FCG som ett eventuellt komplement till etablerade aktörer inom områden. Finansbranschen i stort har redan etablerade relationer med konsultfirmor som genomför säkerhets- eller penetrationstester. Här kan FRA bistå i de tekniska analyserna med sin specifika kompetens och samhällsperspektiv som ett komplement. Vidare kan även FRA:s TDV-system (teknisk detektering och varningssystem) erbjudas finansiella institutioner, men detta anser FCG bör erbjudas på frivillig basis. 

Det inrättas ett särskilt cybersäkerhetsråd i Statsrådsberedningen

Detta initiativ är positivt då syftet med ett säkerhetsråd skulle vara att skapa en gemensam och samlad hotbild av cybersäkerhetshoten mot det svenska samhället, samt skapa en gemensam prioritering mellan olika sektorer. Detta skulle skapa en lägesbild över samhällets sårbarheter ur ett cybersäkerhetsperspektiv och kunna ligga till grund för aktörerna inom finansbranschen att skapa egna prioriteringar inom cybersäkerhet.

Det nationella cybersäkerhetscentret (NCSC) kommer på plats snabbare

FI presenterar NCSC:s styrningsmodell (som utgår från en samverkansmodell mellan FRA, Försvarsmakten, MSB och Säkerhetspolisen), samt poängterar att de finansiella stabilitetsmyndigheterna (FI, Riksbanken och Riksgälden) idag inte har ett formaliserat samarbete med NCSC. I dagsläget är det otydligt hur detta center ska samverka och koordinera arbetet inom bank och finanssektorn och vilken form av rapportering som kommer krävas. Centret är tänkt att utgöra den nationella plattformen för samverkan och informationsutbyte mellan privata och offentliga aktörer.

Bank-ID och andra privata e-legitimationer ska stå under tillsyn eller ersättas av en statlig e-legitimation

Att de aktörer som tillhandahåller e-legitimation bör stå under tillsyn bedömer FCG inte vara kontroversiellt, men att förstatliga e-legitimationsmarknaden kan begränsa konkurrenskraften och skapar en koncentrationsrisk. Idag finns det flertalet privata aktörer inom området (så som bank-ID och Freja eID) som står för konkurrens inom området. Detta behöver vidare ställas i relation till det europeiska perspektivet där eIDAS regleringen har resulterat i flertalet leverantörer. 

Införa en ny struktur för operativ hantering av operationella kriser i finansiella företag samt införa en ny struktur för cyberrelaterade övningar

Denna punkt ligger i linje med Artikel 40 i den föreslagna DORA-förordningen som omfattar samverkan mellan finansiella aktörer för utbyte av cybersäkerhetsrelaterad information till följd av cyberangrepp och liknande händelser. FI:s förslag är att lägga ansvaret för att leda detta forum på en myndighet. FCG:s bedömning är att organisationsformen för hur samverkan mellan privata och offentliga aktörer bör organiseras borde lämnas över till branschens aktörer att besluta, där redan etablerade forum för samverkan redan finns etablerade (så som exempelvis bankföreningen, fondhandlarföreningen, etc., samt FSPOS).

Utveckla en gemensam portal för företags inrapportering av it-incidenter till myndigheterna

I dagsläget finns det flertalet regleringar och förslag till regleringar som omfattar inrapportering av it-incidenter (så som DORA-förordningen, NIS2-direktivet, lagen om elektronisk information, dataskyddsförordningen, GDPR, m.fl.). En samordning av rapporteringskraven till en gemensam portal skulle underlättarapporteringen för branschens aktörer vilket är positivt, men FCG bedömer att det även är viktigt att koordinera denna rapportering på EU-nivå för att inte skapa dubbel-rapportering.

FCG:s bedömning av dessa åtgärder är att det i mångt och mycket anpassar FI:s mandat till kommande regleringar inom området, så som ex. NIS2 eller EUs DORA. FCG tillsammans med finanssektorn ser också fram emot den gemensamma cybersäkerhetsstrategin som är under utveckling mellan Riksbanken, Riksgälden och Finansinspektionen (beräknas vara färdig till sommaren 2022). Vissa områden som FI föreslår är dock nya och specifika för Sverige, så som att FRA kan ges möjlighet att stötta företag i den finansiella sektorn. Notera att FI poängterar att institut som idag inte omfattas av DORA:s krav (så som finansiella infrastrukturbolag, exempelvis Bankgirot) kommer att hanteras via lokal reglering och att FI framhåller att det kan finnas ytterligare behov av fylla ut DORA-förordningens regler.

Systemviktiga institutioner

FI resonerar också att för systemviktiga institutioner bör kravet på motståndskraft mot cyberangrepp sättas högt och gör här en jämförelse till högre ställda kapitalkrav för systemviktiga institutioner. FI resonerar vidare om att en väg skulle kunna vara att införa den reglering som införts i Storbritannien som föreskriver en maximal tolerans för operationella störningar samt cybersäkerhetstester för att mäta efterlevnaden av den maximala toleransnivån. Liknande reglering är under införande i Danmark (Finansielt Sektorforum for Operationel Robusthed (FSOR)). Att kravet för motståndskraft bör sättas högt, speciellt för systemviktiga institutioner bedömer FCG som positivt och bra. Att detta sedan regleras med mätning av efterlevnaden av maximal toleransnivå behöver analyseras vidare beroende på hur dessa mätningar är planerade att tillämpas. Det finns en uppenbar risk att ett komplext område som cybersäkerhet kan vara svårt att mäta efterlevnaden av, och att eventuell reglering över tid inte är linjerat med faktiska hot i omvärlden.

Fortsatt delar FCG FI:s syn om att cybersäkerhetsskyddet generellt sett inom finansbranschen är god och att detta är ett område där aktörerna inom branschen arbetar aktivt, men att cybersäkerhetsskyddet behöver anpassas sig till en förändrad hotbild i form av statsunderstödda attacker vilket innebär en ökning av både upptäcks- och hanteringsförmågan inom cybersäkerhet.

För aktörerna inom bank och finanssektorn är detta spännande läsning då man erbjuds insyn i FI:s perspektiv på cybersäkerhet. Det är tydligt att området kommer att vara högaktuellt i framtiden ur ett granskningsperspektiv. FI:s prioriteringar kommer att ligga på det förebyggande cybersäkerhetsarbetet, både ur ett tillsyns- och tillståndsperspektiv. Fokus ligger därmed på intern styrning och kontroll i form av organisation och styrning av cybersäkerhetsområdet, analys av attackvektorer som instituten är exponerade för (här bör även statsunderstödda hot ingå), analys av vilka processer, system och information som är skyddsvärd och tekniska systemskydd. FI förespråkar cybersäkerhetsmetoder bestående av: identifiera, skydda, upptäcka, hantera och återhämta (NIST cybersäkerhetsramverk) och tillsynen kommer att fokusera på hur väl instituten lever upp till dessa förmågor. FI tydliggör att fler företag kommer omfattas av tillsynen i framtiden och att samtliga fem förmågor kommer att omfattas av tillsynen. FI tydliggör fortsatt också kraven på instituten avseende utläggning av tredjepartstjänster och institutens förmåga att säkerställa tillräcklig kunskap och utöva god intern styrning och kontroll över den utlagda verksamheten. Vidare ska koncentrationsrisken beaktas. 

Sammanfattningsvis

Sammantaget bör säkerhetschefer koncentrera sina ansträngningar genom att säkerställa att säkerhet ingår i institutets övergripande intern styrning- och kontrollarbete, att NIST cybersäkerhetsramverk omfattas av institutets övriga säkerhetsarbete, säkerställa att säkerhet omfattas av leverantörsstyrningsprocesserna och säkerställa att de tekniska krav som omfattas av de olika IKT och säkerhetsriktlinjer (EBA och EIOPA) och den framtida DORA-förordningen är etablerade.

This is FCG

Since 2008, we have combined financial, regulatory and technological expertise to support and challenge the financial industry with insights and experience, helping our clients navigate a changing and complex GRC environment. We want our clients to succeed. Together, we create sustainable solutions tailored to their needs and to enhance their business, contributing to a better financial industry and a healthier society.

For further information, please contact:

Fredrik Ohlsson

Managing Director, Cyber & Digital Risk

Let's connect

Cyberhot i den finansiella sektorn Cyberhot i den finansiella sektorn
I want an Advisense expert to contact me about:
Cyberhot i den finansiella sektorn

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later