Finansinspektionen (FI) har genomfört en kartläggning av hur banker och kreditmarknadsbolag hanterar operativa IKT-risker. Resultatet tyder på brister inom kontinuitetsplanering, ett område som är centralt enligt FI:s operativa riskföreskrifter och de krav som följer av DORA-förordningen.
FI har kartlagt hur 33 utvalda banker och kreditmarknadsbolag hanterar sina operativa risker. Syftet har varit att analysera hur regelverken tillämpas i praktiken och att identifiera likheter och skillnader i företagens riskhantering. Enligt FI framstår de granskade företagens processer för att hantera operativa risker i huvudsak som ändamålsenliga, men myndigheten bedömer samtidigt att det finns förbättringspotential hos både större och mindre aktörer.
Ett återkommande förbättringsområde är dokumentationen av processer som har väsentlig betydelse för verksamheten. Om sådan dokumentation saknas eller är bristfällig kan det försvåra arbetet med att utveckla effektiva kontinuitetsplaner. Enligt FI kräver god kontinuitetsplanering en bred och djup förståelse för verksamhetens IT-system och processer, inklusive hur olika aktiviteter hänger samman och vilka beroenden som finns. FI framhåller även att finansiella företag behöver ha en robust styrning och kontroll över verksamhetskritiska processer samt en beredskap för att hantera störningar i verksamheten.
Kartläggningar är en viktig del av FI:s tillsynsarbete. Resultaten kan ligga till grund för uppföljning av enskilda företag inom den löpande tillsynen eller för mer omfattande undersökningar om myndigheten misstänker brister i regelefterlevnaden.
I FI:s operativa riskföreskrifter definieras operativ risk som risken för förluster till följd av otillräckliga eller fallerade interna processer, människor och system eller yttre händelser. Begreppet omfattar bland annat legala risker, modellrisker och informations- och kommunikationsteknikrisker (IKT-risker), men inte strategiska risker eller anseenderisker.
IKT-risk avser i sin tur risken för förluster kopplade till användningen av nätverks- och informationssystem, exempelvis om händelser som påverkar säkerheten i systemen får negativa konsekvenser för verksamhetens funktioner, processer eller tjänster.
Kartläggningen illustrerar betydelsen av strukturerad kontinuitetshantering i finansiella verksamheter. Enligt FI:s operativa riskföreskrifter och DORA-förordningen krävs bland annat dokumenterade kontinuitetsplaner samt att dessa regelbundet uppdateras och testas.
En förutsättning för effektiv kontinuitetshantering är även en systematisk analys av IKT-risker, inklusive risker kopplade till tredjepartsleverantörer, såsom leverantörer av molntjänster och andra IKT-tjänster. Brister i dessa processer kan leda till tillsynsåtgärder och i vissa fall sanktioner.
TechLaw bistår finansiella aktörer med juridisk rådgivning i frågor som rör finansiell reglering, DORA och IKT-riskhantering i teknikdrivna miljöer. Läs mer om vår expertis inom finansiell reglering.
Har ni frågor om hur kraven på digital operativ motståndskraft påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: FI.