Agenda kybernetické odolnosti: Pohled do priorit Evropské centrální banky pro roky 2026–2028

Kybernetická bezpečnost jako klíčový faktor stability evropského bankovnictví

Evropské banky se již nepřipravují na potenciální kybernetickou krizi. Ony v ní již přímo nacházejí.

Kybernetické útoky se totiž proměnily z izolovaných incidentů v dlouhodobé kampaně, které dokážou ochromit klíčové bankovní služby, podkopat důvěru klientů a vyvolat přímý dohled ze strany regulátorů. Zpráva Verizon Data Breach Investigations Report 2025 tuto realitu potvrzuje: finanční sektor čelí extrémně vysokému počtu incidentů a úniků dat, v nichž se řadí hned na druhé místo za průmyslovou výrobu.

Riziko navíc zvyšuje fakt, že útočníci začali k akceleraci svých aktivit využívat nástroje umělé inteligence. Tyto trendy se navíc střetávají s problémy, které odhalila rychlá digitalizace sektoru. Mnoho bank se potýká se zastaralými systémy, výraznou závislostí na dodavatelích třetích stran a bezpečnostními mechanismy, které nebyly navrženy pro dnešní rychlost a komplexitu hrozeb.

Souhra těchto faktorů transformovala kybernetické hrozby z technického rizika v pozadí na prioritní téma pro představenstva společností, které je přímo spjato s provozní kontinuitou a finanční stabilitou.

ECB zvyšuje sázky

Regulační orgány vnímají stejný posun. Když Evropská centrální banka (ECB) v roce 2024 provedla svůj první zátěžový test kybernetické odolnosti, musely banky reagovat na scénář, při kterém došlo k přímému narušení jejich klíčových systémů. Většina institucí sice dokázala aktivovat krizové plány, mnohé však narazily na problémy v oblasti širší koordinace a obnovy provozu, zejména v aspektech závislých na externích dodavatelích. Tento test posloužil jako varovný signál a zásadně ovlivnil priority ECB pro období 2026–2028.

V tomto cyklu pro roky 2026–2028 ECB zpřísnila svůj dohled a postavila kybernetickou a provozní odolnost do samotného centra své dozorčí agendy. Namísto toho, aby byla kybernetická bezpečnost vnímána pouze jako technický doplněk, nyní inspektoři ECB vyžadují, aby banky prokázaly schopnost zachovat kritické služby i během závažného výpadku. A to bez ohledu na to, zda je způsoben geopolitickým napětím, technologickým selháním nebo kolapsem klíčových outsourcovaných poskytovatelů.

Požadavky plynoucí z priorit pro období 2026–2028

V období 2026–2028 se od bank očekává plná implementace požadavků nařízení DORA. Důraz bude kladen zejména na řízení rizik spojených s ICT dodavateli (třetími stranami), reakci na incidenty a dohled nad cloudovými službami. Zároveň je nutné odstranit přetrvávající nedostatky v kybernetické bezpečnosti, řízení outsourcingu a v práci s rizikovými daty.

Nejde přitom o pouhé „odškrtávání políček“ v kontrolních seznamech. DORA vyžaduje ucelený program provozní odolnosti, který zahrnuje kompletní řízení rizik v oblasti ICT, hlášení a testování incidentů, dohled nad celým životním cyklem třetích stran a outsourcingu kritických funkcí (OSI), a důkaz, že to vše v praxi funguje.

Nárůst sofistikovaných kybernetických útoků a rostoucí závislost na externích poskytovatelích podtrhly nezbytnost odolných systémů, jasně definované správy a důkladně prověřených krizových plánů pro všechny kritické operace.

Dozorčí orgány ECB rovněž zintenzivní dohled nad technologickým prostředím bank – od procesů řízení změn v systémech až po zavádění nastupujících technologií, jako je AI. K posouzení schopnosti bank předcházet ICT výpadkům, absorbovat je a zotavit se z nich budou využívány cílené prověrky, kampaně zaměřené na outsourcing (OSI) a penetrační testování založené na hrozbách (TLPT).

Poselství je jasné: provozní odolnost již nesmí být pouze ambicí. Banky ji musí prokázat v praxi skrze stabilitu technologií, dat a smluvních vztahů s dodavateli, a to i v podmínkách extrémního stresu.

Transformace, která nyní čeká každou banku

Tento sektor se dnes nachází na rozcestí. Od bank se očekává, že přejdou od reaktivních záplatování k budování skutečné kybernetické odolnosti napříč celou organizací. To v praxi znamená striktní řízení a dohled shora dolů, lepší přehled o závislostech na třetích stranách, modernizaci zastaralých technologií, které jsou kritickým zranitelným místem, a integrování bezpečnosti přímo do digitální transformace, nikoliv její dodatečné doplňování. Zároveň to vyžaduje změnu paradigmatu: ke kybernetickým incidentům je nutné přistupovat jako k nevyhnutelným. Příprava na ně musí zahrnovat důkladně procvičené procesu obnovy, které lze v případě útoku aktivovat okamžitě a bez zaváhání.

Rostoucí význam strategických poradců pro kybernetickou bezpečnost

Pro mnoho bank vyžaduje naplnění těchto očekávání strukturovanou podporu. Právě zde se konzultační služby v oblasti kybernetické bezpečnosti stávají nepostradatelnou součástí procesu zajištění souladu s legislativou.

Firmy se obracejí na konzultanty s žádostí o posouzení nedostatků v souladu s nařízením DORA, aby zjistily, v jakých oblastech vykazují jejich informační a komunikační technologie, systémy řízení a provozní procesy nedostatky, a také s žádostí o praktické programy pro zajištění souladu s předpisy, které pomáhají s redesignem interních politik, posílením řízení rizik a nastavením efektivnějšího reportingu a dohledu.

Běžným standardem se stávají také paušální poradenské služby. Ty bankám zajišťují trvalý přístup k bezpečnostním specialistům, kteří je provedou prověrkami ze strany dozorových orgánů, přípravou na zátěžové testy, simulacemi incidentů či krizovými cvičeními, a poskytnou podporu při nápravě nově zjištěných slabin.

Jak být vždy o krok napřed

Při pohledu do budoucna již shoda s předpisy není o pouhém odškrtávání políček pro regulátory, ale spíše o prokazování odolnosti v praxi. Banky, které včas investují do posílení kybernetického řízení, modernizace technologií, zpřísnění dohledu nad třetími stranami a testování plánů reakce na incidenty, nebudou pouze splňovat očekávání ECB, ale získají při svém fungování mnohem větší jistotu. Ty, které tak neučiní, se vystavují jak tlaku ze strany dohledu, tak reálným hrozbám, které jsou dnes v bankovnictví na denním pořádku.

Poselství je jasné: kybernetická odolnost se stala jedním z definujících měřítek stability banky. Instituce, které k ní přistupují jako ke strategické prioritě – podložené trvalým interním nasazením a správnou externí expertízou – naplní regulatorní požadavky a vybudují si důvěru v rámci konkurenčního prostředí.

AUTOR