26 mei 2020

Cyberaanvallen als systeemrisico financiële sector

Het Europees Comité voor Systeemrisico's (European Systemic Risk Board - ESRB) publiceerde op 19 februari 2020 een rapport waarin het cyberrisico's identificeerde als een bron van systeemrisico voor het financiële systeem. Cyberaanvallen kunnen door het verstoren van de normale operaties van meerdere financiële instellingen leiden tot financiële verliezen en eventueel tot het verlies van vertrouwen in een aantal financiële instellingen of in het financiële systeem in zijn totaliteit. De essentiële rol van vertrouwen en de verregaande gevolgen bij het verlies van dit vertrouwen (bijvoorbeeld door het volledig opdrogen van liquiditeit of het ontstaan van bank runs) kwamen duidelijk tot uiting tijdens de laatste financiële crisis. De Nationale Bank van België (NBB) werkte als lid van de ESRB en van de European Systemic Cyber Group (ESCG) actief mee aan de totstandkoming van dit rapport, en besteedt in haar jaarlijks Financial Stability Report ook aandacht aan de cyberrisico's voor de Belgische financiële sector.

Op een aantal vragen van Kamerlid Dieter Van Besien (Groen) gaf minister van Financiën De Croo volgend antwoord:

"De Nationale Bank brengt momenteel al die cyberdreigingen die potentieel een systemisch karakter voor de financiële industrie kunnen krijgen in kaart. De informatie die daartoe wordt gebruikt, is divers en dient soms gelijktijdig meerdere doelstellingen, zoals micro- en macroprudentieel toezicht. De Bank neemt in dat kader ook deel aan internationale werkgroepen, om een beter zicht te krijgen op risico’s en nieuwe best practices te ontwikkelen.

 

Bepaalde werkgroepen proberen de afhankelijkheden van en de wisselwerkingen tussen belangrijke financiële spelers in kaart te brengen. Het gaat dan vooral om grote financiële instellingen en marktinfrastructuren die het betalings- of effectenverkeer ertussen regelen. Deze werkgroepen analyseren ook wie de leveranciers van IT-systemen zijn van een groot aantal van deze financiële spelers en wat de financiële stromen zijn tussen actoren in verschillende landen. Door ex-ante hierop analyses uit te voeren kan de potentiële impact van een uitval van een dienst of technologie, of het stilvallen van een flow tussen financiële actoren beter ingeschat worden.

 

In het rapport waarvan sprake in uw vraag kondigt de European Systemic Risk Board een verder onderzoek, inclusief een kosten-batenanalyse, aan naar mogelijke systemisch matigende factoren. De Nationale Bank zal hieraan bijdragen waar mogelijk en als dit zinvol is de toekomstige conclusies integreren in haar beleid.

 

Een ander, recent, voorbeeld is de totstandkoming van een initiatief, het Cyber Information and Intelligence Sharing Initiative, dat de uitwisseling van vitale informatie met betrekking tot cyberaanvallen moet bevorderen tussen Europa’s grootste en meest belangrijke financiële infrastructuren. De Nationale Bank is overigens een permanent lid van de Euro Cyber Resilience Board die dit initiatief nam.

 

Gezien er weinig of geen ervaring is met betrekking tot de financiële draagwijdte van een systemisch cyberincident, is het moeilijk om onderbouwde uitspraken te doen over de toereikendheid van de microprudentiële kapitaalvereisten. Het beleid van de Nationale Bank richt zich niet enkel op eerder retroactieve maatregelen maar is ook gefocust op adequate preventieve maatregelen, informatie-uitwisseling en hersteloplossingen.

 

De krijtlijnen voor het activeren van liquiditeitssteun van de centrale bank zitten vervat in de overeenkomst aangaande Emergency Liquidity Assistance die terug te vinden is op de website van de Europese Centrale Bank. Binnen die contouren en met inachtneming van alle geldende beslissingen van de Governing Council van de ECB kan ook in België in het geval van een systemische cybercrisis worden nagedacht over het verschaffen van dergelijke uitzonderlijke liquiditeitssteun tegen onderpand aan solvabele tegenpartijen. Het Directiecomité van de Nationale Bank beslist daarover geval per geval

 

De Nationale Bank staat rechtstreeks in contact met de technische teams bij de financiële instellingen onder toezicht. Er is ook een goede samenwerking met de sectoroverschrijdende autoriteit, het Centrum voor Cybersecurity België."