Stress für Banken
Europäische Zentralbank prüft bei Banken Resilienz und geschäftliche Auswirkungen im Falle von Cyber-Attacken. 2024 erfolgen bei beaufsichtigten Instituten Stresstests mittels simulierter Cyber-Angriffe.
(red/czaak) Die Europäische Zentralbank (EZB) wird 2024 bei von ihr direkt beaufsichtigten 109 Banken einen Stresstest zur Widerstandsfähigkeit bei Cyberattacken durchführen. Dabei wird sie prüfen, wie die Banken auf einen Cyberangriff reagieren und wie sie ihren Geschäftsbetrieb wiederherstellen. Ob die Banken einen Angriff verhindern können, ist nicht Gegenstand des Tests.
Maßnahmen zur Wiederherstellung des Geschäftsbetriebs
Im operativen Szenario verursacht ein erfolgreicher Cyberangriff Störungen im Tagesgeschäft der Banken. Dann testen die Banken ihre als Reaktion auf einen Cyberangriff und zur Wiederherstellung des Geschäftsbetriebs vorgesehenen Maßnahmen und das inkludiert etwa Notfallverfahren sowie Maßnahmen zur Wiederherstellung des normalen Geschäftsbetriebs. Anschließend beurteilt die Aufsicht, inwieweit die Banken mit einem solchen Szenario umgehen können.
28 Banken werden im Zuge des Tests eingehender geprüft. Sie müssen zusätzliche Informationen dazu bereitstellen, wie sie mit dem Cyberangriff umgegangen sind. Diese Stichprobe umfasst Banken mit verschiedenen Geschäftsmodellen aus diversen geografischen Gebieten. So soll ein aussagekräftiges Bild des Bankensystems im Euroraum gewonnen und eine effiziente Abstimmung mit anderen Aufsichtstätigkeiten gewährleistet werden.
Gewonnene Erkenntnisse fließen in allgemeine aufsichtliche Beurteilung
Der Stresstest zur Cyberresilienz ist in erster Linie ein qualitativer Test. Er wird sich nicht über eine sogenannte Säule-2-Empfehlung auf das Kapital der Banken auswirken. Dies ist eine bankspezifische Empfehlung zur Kapitalausstattung, die über die verbindlichen Anforderungen hinausgeht. Die gewonnenen Erkenntnisse sollen 2024 in die allgemeinere aufsichtliche Beurteilung einfließen.
Im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process – SREP) 2024, bei dem das individuelle Risikoprofil einer Bank beurteilt wird, wird die Aufsicht die Ergebnisse und die daraus gezogenen Lehren mit den einzelnen Banken besprechen. Die wichtigsten Ergebnisse des Stresstests werden im Sommer 2024 veröffentlicht.