2021年3月9日,欧盟网络安全委员会ENISA发布了金融领域的网络安全倡议,目的是阐明金融实体、欧盟机构、金融部门的相关举措,并指导感兴趣的各方与之互动并从其产生的成果中受益。
金融部门是一个受到严格监管的部门,网络安全条款已包含在多个欧盟政策和法规中(例如PSD 21,MIFID II2)。欧盟机构、代表、构成部分、监管机构和其他利益相关者团体实施了多项旨在改善金融实体网络安全的举措。这份简短的文件概述了该行业中的此类欧洲网络安全计划,并且是对欧盟一级与网络安全相关计划的首次描述。
1.欧盟金融领域网络安全政策的制定与实施
欧盟委员会在制定欧盟整体战略以及设计和执行欧盟金融部门政策方面发挥着积极作用,它会定期评估并报告这些政策。这些举措属于欧洲委员会的责任。
欧盟委员会于2018年发布了Fintech行动计划,其目的是实现更强的网络弹性,并通过以下方式做到这一点:促进市场参与者之间关于网络威胁的信息共享;促进更高的监管融合和IT风险管理的实施;使用常见的威胁情报线索方法(例如TIBER-EU)加强欧盟在网络威胁测试中的协调。
2020年,数字金融战略就欧洲如何在未来几年内支持金融数字化转型,同时规范其风险提出了一般思路。该战略提出了四个主要优先事项:消除数字单一市场中的分散性,调整欧盟法规框架以促进数字创新,促进数据驱动的融资,通过数字化转型应对挑战和风险,包括增强金融系统的数字化运营弹性。
欧共体最近发布了有关《数字运营弹性法案》(“DORA”)的立法提案。金融部门对软件和数字流程的日益依赖意味着信息通信技术(ICT)风险是金融固有的。因此,委员会建议所有金融实体确保其能够承受与ICT相关的所有类型的破坏和威胁。信贷机构、支付和电子货币机构、保险公司和其他金融实体将必须遵守严格的标准,以防止和限制与ICT相关的事件的影响。欧共体还对服务提供商(例如大技术公司)设置监督框架,这些服务提供商向金融实体提供关键的ICT服务。
欧洲银行业管理局(EBA)的主要任务是为创建《欧洲单一规则手册》做出贡献,旨在为整个欧盟的金融机构提供一套统一的审慎规则。关于与ICT /网络相关的主题,EBA已制定了许多监管文件,包括指南、建议、意见和其他非监管公开声明。EBA制定了旨在提高信贷机构、支付机构、投资公司和电子货币机构的网络弹性的技术标准、指南、意见和其他法律工具。EBA已经建立了两个相关的结构,它们正在处理与网络相关的事务。第一个是支付服务小组委员会,该委员会致力于PSD2相关方面的工作,并由主管当局的专家参加。第二个结构是IT监督特别工作组(TFIT)。TFIT吸引了来自成员国的ICT专家,他们在与监管实践融合有关的领域中提供协助,以监督IT和与IT相关的风险。此外,它还有助于建立一个一致而有效的框架来评估IT风险和其他审慎风险,这些风险可能是受监管机构使用创新技术(FinTech)引起的。
《EBA ICT和安全风险管理指南》规定了欧盟/欧洲经济区的信贷机构、投资公司、支付机构和电子货币机构在缓解和管理其信息和通信技术(ICT)风险方面的要求,并旨在确保单一市场的强大方法。2019年11月,EBA发布了《ICT和安全风险管理指南》(EBA / GL / 2019/04),该指南要求通过建立健全的内部治理和使用内部控制框架来管理和缓解ICT和安全风险,明确规定金融机构员工(包括管理机构)的职责。
欧洲保险和职业养老金管理局(EIOPA)采取措施对保险和养老金行业进行监管。EIOPA专注于采用新技术的业务模型的影响,以及将新技术用于监督目的的影响。原子能机构还为建立欧洲共同的技术创新方法做出了贡献,并促进了有关网络安全和网络攻击的信息交流。EIOPA最近发布了一项网络承保策略。它考虑了对网络风险的接受度以及以下可能性:网络攻击可能造成的损失;来自网络攻击的响应和恢复;分享网络风险管理的良好做法;鼓励对降低风险的保险费进行投资。EIOPA还发布了外包准则。这些准则适用于所提供的各种云服务。这些准则的目的是向市场参与者提供透明的信息,避免潜在的监管套利。此外,它们旨在促进与云外包相关的流程方面的监督融合。
泛欧金融基础设施欧洲网络弹性委员会(ECRB)是金融市场基础设施之间进行战略讨论的论坛。其目标是:提高对网络弹性主题的认识;推动联合行动,为市场开发有效的解决方案;提供一个共享最佳做法并促进信任与协作的场所。
ENISA定期对正在进行的、未来的涉及网络安全的欧盟政策计划进行最新评估,为政策制定和实施提供支持,并将此信息提供给欧洲委员会和国家网络安全主管部门。它特别关注与NIS指令有关的政策以及专门用于网络安全的政策(例如DSM,安全认证,危机合作,教育和培训,信息中心)。ENISA在政策制定方面向欧盟委员会和其他欧盟相关机构提供网络安全专家建议。ENISA还支持国家主管部门之间的合作,以便为实施已商定的欧盟政策(立法)而共同努力。因此,它可以分享国家的观点和经验,并有助于在这些观点和经验的基础上提出建议并就其达成共识。
2.信息共享和能力建设
ECRB于2020年2月27日启动了网络信息和情报共享计划(CIISI-EU)。CIISI-EU汇集了公共和私人实体的做法,旨在共享情报和交流最佳做法。CIISI-EU的核心目标是:通过预防,检测和应对网络攻击来保护金融系统;促进在金融基础设施之间共享信息,情报和最佳做法;和提高对网络安全威胁的认识。CIISI-EU社区是一个市场驱动的计划。它由ECRB代表的泛欧洲金融基础设施、中央银行(以其运营能力)、关键服务提供商、ENISA和EUROPOL组成。
七国集团成立了一个网络专家组(CEG),定期开会以促进重大国际辩论的进展,并向七国集团部长和州长报告。该小组由英国和美国主持。CEG的目标是确定金融部门的主要网络安全风险,并提出在此领域应采取的行动。
泛欧保险论坛(PEIF)致力于提高与网络有关的事件的透明度,从而为网络保险承保社区提供坚实的数据基础。提高透明度既要在数量上提高(即增加目前在欧洲市场上生产和交换的信息的数量,又要使更多的经济主体能够获得这些信息)。
ENISA通过提供有关最佳实践的信息以及有关可用工具和程序的指南,并通过适当解决与信息共享有关的监管问题,来支持在各个部门中建立信息共享和分析中心(ISAC),从而为这些举措做出了贡献。这种信息交换可以帮助每个成员以及其成员国中的银行提高对潜在风险的认识,并就新的威胁和MO发出预警。
3.网络危机管理
ENISA在欧盟对网络安全事件危机的协调响应中发挥了积极作用,并在需要时为欧盟委员会提供了帮助,特别是在综合政治危机响应(IPCR)安排的框架内。
ENISA与成员国紧密合作,开发欧盟级别的网络危机管理方法,以在发生跨境网络事件时提高态势意识,以协助国家和欧盟级别的决策者做出正确的决定。ENISA还运行了几次危机模拟和演练,并提供了有关该主题的大量培训。此外,ENISA管理泛欧洲演习计划,即“Cyber Europe”,并提供网络演习平台,这是用于管理复杂演习的工具。
4.提高意识和培训
欧洲银行业管理局(EBA)通过其政策制定工作和监管融合活动来提高人们对网络危机的认识。其中包括为整个欧盟和一些非欧盟辖区的监管者举办的研讨会和培训。在监管方面,EBA还通过将有关ICT和网络安全的具体细节纳入监管来提高意识。作为评估欧盟银行业风险和脆弱性的任务授权的一部分,EBA定期发布风险评估报告,其中包括ICT和网络安全风险。同样,ESA风险报告联合委员会还定期就涉及网络安全方面的内容与外部利益相关者合作,包括磋商、圆桌会议和讲习班。
欧洲银行业联合会(EBF)通过计划和开展活动,以提高人们对网络安全问题的认识,并提高银行员工和客户的网络安全技能。EBF通过其网络安全工作组,积极开展网络风险意识提高运动和计划,以提高劳动者和欧盟公民的网络安全技能。2014年,EBF与EUROPOL欧洲网络犯罪中心(EC3)在三个级别上签署了谅解备忘录。自那时以来,它利用其遍布全国的银行界网络来提高对最新网络威胁和解决方案的认识,以减轻该部门(员工,客户和董事会级别)的风险。
5.标准化和认证
网络风险研究所(CRI)致力于通过发布标准来增强网络安全性和弹性。作为金融机构和行业协会的非营利联盟,CRI负责维护《金融服务网络安全概况》(以下简称“概况”),这是金融服务行业网络安全和弹性的基准。这份不断发展且简洁的评估问题清单是根据全球法规和网络标准(例如ISO和NIST的标准)得出的。该概要还创建一种通用的监督工具,旨在提高主管部门对公司惯例进行基准测试的能力。EBA根据《支付服务指令II》发布了两项监管技术标准。
6.研究与创新
CONCORDIA是一个网络安全能力网络,具有领先的研究、技术、工业和公共能力。CONCORDIA建立了以用户为中心的、欧盟范围的网络安全生态系统。CONCORDIA的服务实例包括将不同的利益相关者聚集在一起,在金融部门等各个部门开发创新的解决方案,通过虚拟实验室,培训课程和网络范围提供领先的研究和创新,以及为欧洲决策者和行业提供专业知识。此外,CONCORDIA正在建立欧洲教育生态系统,并定期发布有关网络安全技能认证或威胁态势的报告。
同样,欧洲网络安全是一个研究项目,涵盖了在数字基础设施、金融、政府和智慧城市、医疗保健和交通运输等垂直领域解决网络安全挑战的现实用例。其中工作重点专门放在下一代网络安全技术(包括双重用途),应用程序和服务的共同研究、开发和创新上,侧重于横向网络安全技术和关键部门(例如金融)的网络安全。
来源:中国信通院