Baris Färnman.

– De här nya riktlinjerna från den europeiska bankmyndigheten (EBA) kommer att bli europeisk standard för hantering av säkerhets- och it-risker. Eftersom förändringen börjar gälla redan den 30 juni i år så är det nu hög tid se över den egna statusen och implementera reglerna. Det är också viktigt att känna till att riktlinjerna gäller oavsett storlek på bolag, säger Baris Färnman, ansvarig cybersäkerhet inom finansbranschen, PWC Sverige. 

I korthet så beskriver de nya riktlinjerna hur banker, fondbolag och leverantörer av betalningstjänster inom EU ska hantera sina interna och externa risker när det gäller it- och säkerhetsrisker. Allt för att minska sannolikheten för potentiella cyberincidenter som attacker, dataläckor, intrång och avbrott. Riktlinjerna kompletterar de regler som i dag finns i det så kallade PSD2-regelverket och utökar de föreskrifter från Finansinspektionen som funnits sedan 2014 och 2018. 

Det räcker inte längre att bara kunna visa på att säkerhetsåtgärder uppfylls. Nu behöver organisationerna även genomföra konkreta tester som visar hur cybersäkerheten stärks både i den egna verksamheten och för till exempel kunder och leverantörer.

Parallellt med de här riktlinjerna så har EBA på senare tid även lagt större fokus på risker vid utkontraktering inom finansbranschen. Här handlar det om att ta kontroll över cyberrisker när det gäller uppdragsavtal med leverantörer och hur outsourcing ska hanteras.

– De här nya riktlinjerna från den europeiska bankmyndigheten (EBA) kommer att bli europeisk standard för hantering av säkerhets- och it-risker. Eftersom förändringen börjar gälla redan den 30 juni i år så är det nu hög tid se över den egna statusen och implementera reglerna.

PWC:s rekommendationer:

1. Nulägesanalys
Börja med att göra en bedömning av statusen i hela organisationen, kontrollfunktioner och processer och gör sedan en analys över gapet mellan nuläget och de nya riktlinjerna.

2. Sätt tydliga målsättningar
Utveckla era mål med anpassningen till riktlinjerna och rikta in er på de områden som ska prioriteras. På så sätt kan ni fokusera organisationens insatser och resurser till att täppa till tydliga luckor och de största riskområdena. 

3. Fokusera på att skapa rätt rapportering
Det handlar om att ta fram en systematisk plan för rapportering av cybersäkerhetsarbetet utefter de nya riktlinjerna.

– Rapporteringen ska sedan vara en grund för ledning och styrelse att hållas uppdaterade och vara delaktiga i de riskbeslut som behövs, till exempel om investeringar för ökad cybersäkerhet, säger Sofie Åberg, specialist inom cybersäkerhet på PWC Sverige.

– Finansbranschen har länge varit föregångare inom risk- och säkerhetsområdet. Med de nya europeiska krafttagen kombinerat med Finansinspektionens kommande föreskrifter, finns det goda förutsättningar för att branschen fortsätter gå i främsta säkerhetsledet. Men det kommer att krävas betydande insatser för att leva upp till kraven,  säger Sofie Åberg.