Od první směrnice NIS uplynulo téměř deset let, a přestože její dodržování bylo formálně povinné, její uplatňování mezi zeměmi a sektory je nerovnoměrné. V mnoha případech to vedlo k nehomogenním rámcům a reaktivním strategiím: bylo přijato opatření, když došlo k incidentu nebo když regulátor zaklepal na dveře. Současný kontext je radikálně odlišný. Exponenciální nárůst kybernetických útoků, hyperkonektivita finančního systému a bankovnictví a rostoucí závislost na poskytovatelích technologií vedly Evropu ke zpřísnění svého regulačního rámce. Dnes revidovaný NIS2 nenechává žádný prostor pro improvizaci.
Kybernetická bezpečnost v bankovním sektoru byla léta vnímána jako eminentně technický problém, omezený na IT oddělení nebo postavu CISO. Příchod NIS2 spolu s doplňkovými předpisy, jako je DORA nebo Cyber Resilience Act (CRA), definitivně znamená konec této vize.
NIS2 spolu s frameworky jako DORA nebo CRA upevňuje myšlenku, že kybernetická bezpečnost není doporučením ani přidanou hodnotou, ale regulovanou povinností. Zaveďte jasné požadavky na hlášení incidentů, přísné termíny, metriky, důkazy a možné sankce s ekonomickým dopadem a dopadem na pověst. V tomto novém scénáři je reaktivní nejen neefektivní, ale také nebezpečná. Jedinou životaschopnou strategií je proaktivita. Hlavní praktický dopad toho pro banky a poskytovatele technologií tedy nespočívá ani tak v zavádění nových technických kontrol – mnohé již existují – jako ve změně mentality, kterou to vyžaduje. Klíčovou otázkou již není „co musíme změnit, abychom vyhověli nařízení?“, ale „umožňuje nám vše, co již děláme, jej prokazatelně, průběžně a kontrolovaně dodržovat?“ Dnes je kybernetická bezpečnost hlavním obchodním rizikem a jako taková je přímou odpovědností vrcholového vedení.
A právě jednou z nejčastějších chyb při přístupu k NIS2 je zacházet s ním, jako by to byl jen další technický standard, podobný ISO s uzavřeným seznamem požadavků. není. NIS2 zavádí hlubokou změnu v řízení: vrcholový management se musí aktivně podílet na řízení kybernetických rizik. Podcenění této odpovědnosti – nebo její delegování bez dozoru – může vést k sankcím, které si paradoxně vynutí vyčlenit více prostředků na placení pokut než na zlepšení skutečné bezpečnosti.
Norma navíc rozšiřuje zaměření na dodavatelský řetězec. Poskytovatelé technologií, vývojáři softwaru a výrobci hardwaru se stávají explicitní součástí regulačního obvodu. Pro banky to znamená další odpovědnost: požadovat od svých partnerů stejnou úroveň kybernetické bezpečnosti, jakou požadují od sebe.
Pusťme se do práce
Ačkoli vnitrostátní provedení NIS2 je nedávné, regulační očekávání jsou již jasná. Finanční sektor, zejména v Evropě, začíná díky letité regulaci na vysoké úrovni vyspělosti. Tato výhoda však může být rychle oslabena, pokud procesy, metriky a důkazy nejsou aktualizovány podle nových rámců.
V této fázi by subjekty měly upřednostnit tři klíčové aspekty. Nejprve zkontrolujte svůj model řízení, abyste zajistili, že kybernetická rizika jsou řízena na nejvyšší úrovni, se skutečným dohledem a odpovědností. Za druhé, kriticky zhodnoťte vyspělost vašeho dodavatelského řetězce a požadujte jasné důkazy o dodržování od dodavatelů. A za třetí, jít nad rámec regulatorního minima a předvídat budoucí požadavky.
A musí to dělat v průběhu času a postupně, protože improvizace procesů ke splnění termínů pod tlakem generuje nadměrné úsilí, chyby a napětí v celé organizaci a jejím ekosystému dodavatelů. A v sektoru tak propojeném, jako je finanční sektor, může mít selhání jednoho článku kaskádové důsledky. Protože navíc zrychlený nástup nastupujících technologií, jako je umělá inteligence, ukazuje, že neuběhne dalších deset let, než se dočkáme nových verzí nebo doplňkových frameworků. Přijetí pevných kontrol nyní umožní subjektům vybudovat udržitelný a především adaptabilní regulační ekosystém.
Bankomaty: jasný příklad výzvy
To vše je zvláště důležité v odvětví, které je stále více závislé na neustále se měnících technologiích. Digitalizace například zlepšila efektivitu a zákaznickou zkušenost, ale také otevřela dveře nové formě „bankovní loupeže“: kybernetickému útoku. Dnes nejsou předmětem krádeží pouze peníze, ale také důležitá data a systémy.
V bankovnictví tento problém představují bankomaty velmi viditelným způsobem. Jejich fyzická dostupnost z nich dělá společný vstupní bod pro malware, jak ukázaly útoky s rodinami a variantami, jako je Ploutus, FixS, Green Dispenser nebo Cutlet Maker. Špatná správa těchto zařízení se netýká jen banky, ale potenciálně celého jejího ekosystému.
V tak propojeném sektoru, jako je finanční sektor, může mít selhání jednoho článku kaskádové důsledky.
Aplikace DORA vyžaduje, aby subjekty identifikovaly, vyhodnocovaly a zmírňovaly rizika specifická pro tato prostředí. CRA ze své strany posiluje potřebu začlenění zabezpečení již od fáze návrhu softwaru s pravidelným testováním, kapacitou obnovy a transparentností ve správě zranitelnosti. Obě nařízení se vzájemně doplňují a posilují.
Ale podívejme se na sklenici napůl plnou: NIS2, DORA a CRA nejsou jen regulační povinnosti, ale příležitost ke zvýšení úrovně bezpečnosti a důvěry v celém evropském finančním systému. Protože v novém rámci již kybernetická bezpečnost není volitelná: je základní podmínkou udržitelnosti podnikání.
Néstor Santolaya, odborník na produkty kybernetické bezpečnosti ve společnosti Auriga
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
