Finansiel stabilitet og finansielle risici

FSOR: Samarbejde om operationel robusthed

Nationalbanken har taget initiativ til at etablere Finansielt Sektorforum for Operationel Robusthed, forkortet FSOR. FSOR er et offentlig-privat samarbejdsforum i den finansielle sektor, hvis formål er at øge den operationelle robusthed på tværs af sektoren, herunder robustheden over for cyberangreb. Samarbejdet er frivilligt, men forpligtende. Nationalbanken er formand og sekretariat for samarbejdet.


Den danske finansielle sektor har i flere år arbejdet målrettet med at øge den operationelle robusthed. Selvom det er de finansielle institutioners eget ansvar at sikre stabil drift og operationel robusthed, er institutionerne indbyrdes forbundne. Derfor er samarbejde på tværs af sektoren nødvendigt. Det er baggrunden for, at Finansielt Sektorforum for Operational Robusthed, FSOR, blev etableret i 2016.

FSOR arbejder med initiativer på tre overordnede indsatsområder:

  • Styrket sektorsamarbejde og forbedrede handlemuligheder for de enkelte aktører
  • Stærkere nationalt og internationalt samarbejde med relevante interessenter
  • Øget opmærksomhed og viden om cybersikkerhed

Cyberangreb udgør en systemisk risiko for den finansielle stabilitet

Cyberangreb kan true den finansielle stabilitet i Danmark på flere måder. Et cyberangreb kan fx begrænse samfundskritiske funktioner, som varetages af en eller flere institutioner, eller påvirke tilliden til den finansielle sektor. Et angreb bliver systemisk, når det har effekt på hele samfundet – se figuren nedenfor. Det sker fx, når angrebet rammer samfundskritiske funktioner eller påvirker tilliden til den finansielle sektor.

Fra cyberangreb til systemisk hændelse

Anm.:

Et angreb bliver systemisk, når det eskalerer fra en begrænset teknisk og forretningsmæssig påvirkning til at have effekt på hele samfundet.

I den finansielle sektor i Danmark er der stort fokus på at øge den operationelle robusthed, herunder at være robust over for cyberangreb. Både i de enkelte institutioner, på sektorniveau og på nationalt plan arbejdes der i fællesskab på at håndtere cyberrisici.

Alle aktører i det finansielle økosystem er individuelt ansvarlige for at sikre, at de har et tilstrækkeligt højt niveau af cyberrobusthed, og at de lever op til kravene i gældende standarder og i lovgivningen. Det inkluderer også styring af de risici, som den enkelte aktør påfører andre dele af systemet.

De tekniske og finansielle sammenhænge medfører, at cyberangreb kan sprede sig på tværs af institutioner og systemer. Endvidere er nogle initiativer så ressourcetunge, at de kun kan løftes i fællesskab. Derfor giver det mening både for den enkelte institution og for samfundet, at sektoren i tillæg til det individuelle arbejde også adresserer de operationelle risici, herunder cyberrisici, i samarbejde. 

Arbejdet i FSOR

Danmark er blandt de få lande, som har etableret et frivilligt, men forpligtende samarbejde på tværs af myndigheder og private organisationer, der har som fælles mål at øge den operationelle robusthed i den finansielle sektor. I de senere år er flere andre lande begyndt at tage skridt i samme retning.

Drøftelserne i FSOR sker med udgangspunkt i en risikoanalyse, som afdækker de operationelle risici, der potentielt kan true den finansielle stabilitet. I dette arbejde opnås større forståelse for sandsynligheden for og konsekvensen af de identificerede risici. Risikoanalysen, der opdateres halvårligt, giver et struktureret grundlag for at prioritere tiltag til at reducere de operationelle risici, som den finansielle sektor er udsat for.

Nationalbanken offentliggjorde i 2020 metoden bag risikoanalysen, så andre kan drage fordel af den. Metoden er generisk og kan også anvendes af andre sektorer end den finansielle.

Der anvendes en række kilder til at identificere de systemiske risici, som den finansielle sektor står over for. Det omfatter bl.a. en kortlægning af systemiske afhængigheder og centrale forretningsprocesser, tidligere hændelser, trusselsvurderinger og flere spørgeskemaer.

Risikoanalysen identificerer operationelle risici, som potentielt kan true finansiel stabilitet. De identificerede risici klassificeres hver især i forhold til sandsynlighed og konsekvens. For de væsentligste risici drøfter FSOR forslag til mitigerende tiltag. De tiltag, som besluttes, skal derefter implementeres. Dette arbejde sker i separate spor.

Metoden bag risikoanalysen

Tiltag for at reducere de identificerede risici

På baggrund af risikoanalysen har Nationalbanken og FSOR igangsat en række tiltag med det formål at reducere de identificerede risici. En række af tiltagene nævnes nedenfor.

  • Operationelt kriseberedskab på sektorniveau.
  • Formaliseret Risikoforum for Gensidige Afhængigheder.
  • TIBER-testforløb for de vigtigste aktører i den finansielle sektor.
  • Nationalbankens undersøgelse af cyberrobustheden i den finansielle sektor.
  • Fælles baseline for arbejdet med cyberrobusthed. Baseline har til formål at give konkrete og målbare anbefalinger omkring cyberrobusthed på forskellige områder, fx databeskyttelse og governance. Målet er at udvikle en it-platform, hvor den enkelte organisation på frivillig basis kan ”måle” sin aktuelle cyberrobusthed og få specificeret konkrete tiltag, som kan iværksættes for at opnå et ønsket niveau.
  • Påbegyndt arbejde med at styrke sektorens databeskyttelse og styrke evnen til at genoprette kritiske forretningsfunktioner efter et angreb.
  • Inddraget kritiske leverandører i FSOR-arbejdet med det formål at bringe leverandørerne tættere på sektorens aktører.

FSOR’s kriseberedskab

FSOR har etableret et kriseberedskab på sektorniveau, som supplerer medlemmernes egne kriseplaner og det nationale kriseberedskab, NOST.

Til trods for stærke mitigerende tiltag, så er det et faktum, at de dygtigste hackere kan gennembryde forsvarsværn. Derfor er det centralt at have udarbejdet en detaljeret plan til at sikre en koordineret indsats på tværs af den finansielle sektor i tilfælde af en systemisk krise.

FSOR’s kriseberedskab er etableret med udgangspunkt i internationale standarder for sektorberedskaber og i den nationale sektorstrategi for cyber- og informationssikkerhed.

Kriseberedskabet tester processerne to gange om året for at sikre, at kriseplanen fungerer i praksis i tilfælde af en alvorlig hændelse i sektoren. FSOR’s kriseberedskab har endvidere deltaget i test af koordinering på tværs af de andre samfundskritiske sektorer i forbindelse med et cyberangreb.

FSOR’s kriseberedskab har under særlige omstændigheder, som eksempelvis under covid-19-pandemien, varetaget funktionen med at danne overblik over situationen i den finansielle sektor og koordineret med det nationale kriseberedskab, NOST.

Risikoforum for Gensidige Afhængigheder

Der er etableret et samarbejde om gensidige afhængigheder mellem de centrale systemer i infrastrukturen: Kronos2 (Danmarks Nationalbank), detailclearingerne (Finans Danmark) og værdipapirer (Euronext Securities Copenhagen) samt det fælles finansielle netværk e-connect. e-nettet deltager også i samarbejdet gennem deres ansvar for forvaltningen og risikostyringen af detailclearingerne for Finans Danmark samt i deres egenskab af systemejer af e-connect.

Formålet med risikostyringen af gensidige afhængigheder er at styrke samarbejdet om at identificere og mitigere gensidigt afhængige risici, der opstår på tværs af centrale aktører i den finansielle infrastruktur. Dette sker med fokus på at styrke robustheden mellem de centrale systemer og koordinere mitigerende og beredskabsmæssige tiltag. Risici, som identificeres i Risikoforum for Gensidige Afhængigheder (RGA), men som ikke kan mitigeres i dette regi, løftes til FSOR.

RGA har udarbejdet en risikopolitik, der beskriver formål og udstikker de principielle rammer og målsætninger for risikostyring af gensidige afhængigheder.

Det praktiske arbejde foregår i arbejdsgrupper med repræsentanter fra de fire medlemmer. Der er derudover etableret en styregruppe for RGA, som løbende godkender det samlede risikobillede og foranlediger igangsættelse af konkrete analyser og aktiviteter.

FSOR's medlemmer

FSOR-medlemmerne er den finansielle sektors mest centrale deltagere. Det gælder de systemisk vigtige banker, datacentralerne, repræsentanter for forsikrings- og pensionssektoren samt de virksomheder, der ejer den kritiske infrastruktur. Derudover deltager erhvervs- og brancheorganisationer samt centrale myndigheder.

Udvikling i FSOR-samarbejdet

Læs også