Etenemissuunnitelma PS21/3:lle: Miksi rahoituspalvelujen aika loppuu

Rahoituspalveluyritysten tarpeesta parantaa toiminnan kestävyyttä on kirjoitettu paljon. Mutta suurin osa noista saraketuumista on tähän asti keskittynyt EU:n digitaalinen toimintakestävyyslaki (DORA), joka tuli voimaan tammikuussa – vaikka monet Yhdistyneen kuningaskunnan pankit ei ehkä vielä olla vaatimustenmukainen. Epäilemättä tärkeämpi monille brittiläisille rahoituspalveluyrityksille on Financial Conduct Authorityn (FCA) uusi politiikkalausunto: PS21/3.

PRA:n valvontalausunnon ohella SS1 / 21, se muodostaa alalle joukon tiukkoja uusia vaatimuksia, joiden on oltava käytössä 31. maaliskuuta 2025 mennessä. Organisaatioille, jotka harkitsevat näiden ponnistelujen hiljaista priorisointia, "Arvoisa toimitusjohtaja" kirje Kilpailuvirastolta helmikuun alussa pitäisi keskittyä.

Tärkeintä on, että sääntelijä odottaa noudattamista. Onneksi ISO 27001 voi auttaa alan organisaatioita luomaan FCA:n, PRA:n ja DORA:n vaatiman toiminnan kestävyyden kulttuurin.

Digitaalinen muutos tarkoittaa digitaalista riskiä

Kuten useimmat sektorit, myös rahoituspalvelut ovat kasvaneet jatkuvasti riippuvaisemmiksi digitaalisesta infrastruktuurista pysyäkseen kilpailukykyisinä ja tarjotakseen saumattomia verkkokokemuksia, joita asiakkaat kaipaavat. Vuodesta 2024, noin 86 % brittiläisistä aikuisista käytti verkkopankkia, ja tämän ja mobiilipankkitoiminnan luvun odotetaan jatkavan nousuaan tulevina vuosina – osittain fintech-yritysten häiritsevän vaikutuksen ansiosta. Yhdistyneen kuningaskunnan markkinat näille yrityksille ovat asetettu arvoiseksi yli 24 miljardia dollaria (19 miljardia puntaa) vuoteen 2029 mennessä.

Tämän digitaalisen muutoksen kasvavan vauhdin haasteena on siihen liittyvä ylimääräinen riski. Kasvava riippuvuus teknologiasta altistaa pankit ja muut yritykset suuremmalle digitaalisen kiristyksen riskille, joka johtuu pääasiassa kiristysohjelmista, ja samalla laajentaa hyökkäyspinta-alaa niin, että rikkomuksista tulee lähes väistämättömiä. Se on mahdollisesti vakava maine- ja taloudellinen riski. Kansainvälisen valuuttarahaston (IMF) mukaan Globaali rahoitusvakausraportti, yli 20,000 12 hyökkäystä pankkisektoriin ovat aiheuttaneet yli 9.5 miljardin dollarin (20 miljardin punnan) tappioita viimeisen 2017 vuoden aikana. Lisäksi "äärimmäiset tappiot" ovat yli nelinkertaistuneet vuodesta 2.5 2 miljardiin dollariin (XNUMX miljardia puntaa).

Kyberriski ei kuitenkaan aina johdu haitallisista kolmansista osapuolista. Tammikuun lopussa a suuri Barclaysin IT-katkos jätti lukemattomia asiakkaita korkealle ja kuivalle, eivätkä pystyneet maksamaan veroja, laskuja ja asuntolainamaksuja tai edes saamaan oikeita tilitietojaan. Laskeuma on ollut ennustettavasti ankara korkean kadun lainanantajalle, joka ei tätä kirjoitettaessa vielä ollut selittänyt tapauksen syytä.

Mitä FCA haluaa

Tästä syystä FCA näyttää olevan halukas lisäämään alan digitaalisen toiminnan kestävyyttä koskevia sääntelyvaatimuksia. PS21/3 vaatii, että pankit, taloyhtiöt, vakuutusyhtiöt, maksupalveluntarjoajat ja muut saavat seuraavat asiat kuntoon ennen maaliskuun loppua:

• Tunnista organisaation tärkeimmät liiketoimintapalvelut ja tarkista ne säännöllisesti
• Aseta vaikutustoleranssit kullekin näistä palveluista ja tarkista ne säännöllisesti
• Tunnista ja dokumentoi avainpalvelujen toimittamiseen tarvittavat ihmiset, prosessit, teknologia, tilat ja tiedot. Tämä sisältää kaikki toimittajasuhteet, jotka voivat vaikuttaa organisaation kykyyn pysyä vaikutustoleranssin rajoissa
• Kehitä testaussuunnitelmia, jotka kuvaavat, kuinka organisaatio voi pysyä vaikutustoleranssien sisällä kunkin "tärkeän liiketoimintapalvelun" osalta – tunnistaa uskottavia skenaarioita, jotka on kohdistettu riskeihin ja haavoittuvuuksiin. Tämä auttaa ylempiä johtajia varmistamaan, että haavoittuvuuden korjaussuunnitelmat rahoitetaan asianmukaisesti
• Kehitä ja testaa tapauskohtaisia ​​reagointisuunnitelmia
• Suorita itsearviointi mukaisesti käsikirjan opastus asianomaiselle hallintoelimelle. Tämän pitäisi korostaa organisaation matkaa toiminnan kestävyyteen, mukaan lukien yleiskatsaus löydetyistä haavoittuvuuksista, testatuista skenaarioista (sekä niiden tuloksista), korjaussuunnitelmista ja yleisestä strategiasta kaikkien kriittisten yrityspalvelujen vaikutustoleranssien rajoissa pysymiseksi.
• Säännöllinen horisonttiskannaus auttaa ymmärtämään uusia ja esiin nousevia riskejä ja varmistamaan, että käytössä on asianmukaiset hallintalaitteet toimintahäiriöiden havaitsemiseksi, niihin reagoimiseksi ja niistä toipumiseksi.

FCA on jo julkaissut joitain havaintoja tämänhetkisistä vaatimustenmukaisuustoimista, joiden pitäisi sen mukaan auttaa ohjaamaan rahoituspalveluyrityksiä arvioidessaan valmiutta ja viimeistelemään PS21/3-suunnitelmia. Sääntelyviranomainen on erityisen kiinnostunut varmistamaan, että kolmannen osapuolen riskiä hallitsevat jatkuvasti ja aktiivisesti asianomaiset yritykset, tarvittaessa myös testaamalla. Ja että kunnostussuunnitelmat on täysin rahoitettu. Se edellyttää myös, että vaatimukset noudattavat organisaatiot eivät kohtele PS21/3:a "kerran tehtynä toimintona", vaan sen sijaan sisällyttävät sen vaatimukset yrityskulttuuriin.

Miten ISO 27001 voi auttaa?

Tässä ISO 27001 tulee omaan muotoonsa. ISMS.onlinen tuotepäällikön Sam Petersin mukaan standardin ja PS21/3:n välillä on yhdenmukaisuutta useilla avainalueilla, mukaan lukien:

• Hallinto ja vastuullisuus - Molemmat painottavat johtajuuden vastuullisuutta joustavuusstrategioiden asettamisessa ja valvonnassa.
• Vaikutuskestävyys ja riskinhallinta- Molemmat edellyttävät riskeihin perustuvaa päätöksentekoa ja riskikynnysten asettamista kestävyyden ylläpitämiseksi.
• Testaus ja skenaarioanalyysi - Molemmat vaativat säännöllistä testausta toiminnan kestävyyden arvioimiseksi ja parantamiseksi, jotta organisaatiot voivat käsitellä häiriöitä tehokkaasti.
• Kolmannen osapuolen riskinhallinta- Molemmat edellyttävät asianmukaista huolellisuutta kolmansilta osapuolilta, vaikka ISO 27001 tarjoaa jäsennellyn lähestymistavan toimittajien tietoturvariskien hallintaan.
• Tapahtumailmoitus ja niihin reagointi Molemmat edellyttävät tapaturmien reagointisuunnittelua, vaikka "ISO 27001 menee pidemmälle varmistamalla, että tapausten käsittely dokumentoidaan, valvotaan ja parannetaan ajan myötä", Petersin mukaan.
• Jatkuva parantaminen ja häiriöistä oppiminen - Molemmat painottavat häiriöistä oppimista parantaakseen jatkuvasti kestävyyttä.

"ISO 27001 -standardia käyttävillä yrityksillä on jo vankka perusta FCA:n kestävyysvaatimusten täyttämiselle, erityisesti riskienhallinnassa, häiriötilanteissa ja jatkuvassa parantamisessa", Peters sanoo. "Hyödyntämällä ISO 27001 -standardia rahoituspalveluyritykset voivat vahvistaa FCA-sääntöjen noudattamista ja parantaa samalla yleistä turva-asentoaan ja joustavuuttaan."

Kuten mainittiin, uudet FCA-säännöt jakavat DORAn kanssa myös toiminnan kestävyyden ydinperiaatteet. Tämä sisältää paremman johtajuuden vastuullisuuden, kolmannen osapuolen kestävyyden, paremman reagoinnin tapauksiin ja "kriittisten palvelujen kartoitamisen, haavoittuvuuksien tunnistamisen ja riskikynnysten asettamisen", Peters sanoo. Vaikka nämä kaksi järjestelmää eroavat toisistaan ​​soveltamisalan ja täytäntöönpanon suhteen, tämä tarjoaa EU:ssa toimiville Yhdistyneen kuningaskunnan rahoitusyrityksille mahdollisuuden mukauttaa FCA:n toiminnan kestävyysstrategiat DORA:n kanssa käyttämällä ISO 27001 -standardia perustana.

Tämä lopulta "auttaa virtaviivaistamaan vaatimustenmukaisuutta ja vähentämään sääntelyriskejä", Peters päättää.