– Eftersom förändringen börjar gälla redan den 30 juni är det nu hög tid att se över den egna statusen och implementera reglerna, kommenterar Baris Färnman, ansvarig cybersäkerhet inom finansbranschen på på PwC.
Konkreta tester
I korthet beskriver de nya riktlinjerna hur banker, fondbolag och leverantörer av betalningstjänster inom EU ska hantera sina interna och externa it- och säkerhetsrisker. Allt för att minska sannolikheten för potentiella cyberincidenter som attacker, dataläckor, intrång och avbrott.
Riktlinjerna kompletterar de regler som i dag finns i det så kallade PSD2-regelverket och utökar Finansinspektionens föreskrifter från 2014 och 2018.
– Det räcker inte längre att bara kunna visa på att säkerhetsåtgärder uppfylls. Nu behöver organisationerna även genomföra konkreta tester som visar på hur cybersäkerheten stärks såväl i den egna verksamheten som för till exempel kunder och leverantörer, säger Sofie Åberg, specialist cybersäkerhet på PwC.
Bank och finans har länge varit föregångare inom risk- och säkerhetsområdet, menar Sofie Åberg. Med de nya riktlinjerna finns det goda förutsättningar för att branschen fortsätter gå i främsta ledet.
– Men det kommer att krävas betydande insatser för att leva upp till kraven, säger hon.
PwCs experter inom cybersäkerhet har identifierat de huvudsakliga utmaningarna för organisationer inom bank och finans och kommer med tre uppmaningar:
- Hög tid att göra en nulägesanalys.
Eftersom reglerna börjar gälla redan vid halvårsskiftet är det viktigt att snabbt börja med att göra en bedömning av statusen i hela organisationen, kontrollfunktioner och processer samt analysera gapet mellan nuläget och de nya riktlinjerna.
- Viktigt att sätta tydliga mål.
Utveckla målen med anpassning till riktlinjerna och rikta in på områden som ska prioriteras. På så sätt finns möjligheter att fokusera organisationens insatser och resurser till att täppa till tydliga luckor och största riskområden.
- Fokusera på att skapa rätt rapportering.
Sist men inte minst handlar det om att ta fram en systematisk plan för rapportering av cybersäkerhetsarbetet utefter de nya riktlinjerna. Rapporteringen ska utgöra grund för ledning och styrelse att hållas uppdaterade och vara delaktiga i de riskbeslut som behövs, till exempel om investeringar för ökad cybersäkerhet.