Agenda kybernetickej odolnosti: Pohľad do priorít Európskej centrálnej banky na roky 2026 - 2028

Kybernetická bezpečnosť ako kľúčový faktor stability európskeho bankovníctva

Európske banky sa už nepripravujú na potenciálnu kybernetickú krízu. Oni v nej už priamo nachádzajú.

Kybernetické útoky sa totiž premenili z izolovaných incidentov na dlhodobé kampane, ktoré dokážu ochromiť kľúčové bankové služby, podkopať dôveru klientov a vyvolať priamy dohľad zo strany regulátorov. Správa Verizon Data Breach Investigations Report 2025 túto realitu potvrdzuje: finančný sektor čelí extrémne vysokému počtu incidentov a únikov dát, v ktorých sa radí hneď na druhé miesto za priemyselnú výrobu.

Riziko navyše zvyšuje fakt, že útočníci začali na akceleráciu svojich aktivít využívať nástroje umelej inteligencie. Tieto trendy sa navyše stretávajú s problémami, ktoré odhalila rýchla digitalizácia sektora. Mnoho bánk zápasí so zastaranými systémami, výraznou závislosťou na dodávateľoch tretích strán a bezpečnostnými mechanizmami, ktoré neboli navrhnuté pre dnešnú rýchlosť a komplexitu hrozieb.

Súhra týchto faktorov transformovala kybernetické hrozby z technického rizika v pozadí na prioritnú tému pre predstavenstvá spoločností, ktoré je priamo späté s prevádzkovou kontinuitou a finančnou stabilitou.

ECB zvyšuje stávky

Regulačné orgány vnímajú rovnaký posun. Keď Európska centrálna banka (ECB) v roku 2024 vykonala svoj prvý záťažový test kybernetickej odolnosti, museli banky reagovať na scenár, pri ktorom došlo k priamemu narušeniu ich kľúčových systémov. Väčšina inštitúcií síce dokázala aktivovať krízové ​​plány, mnohé však narazili na problémy v oblasti širšej koordinácie a obnovy prevádzky, najmä v aspektoch závislých od externých dodávateľov. Tento test poslúžil ako varovný signál a zásadne ovplyvnil priority ECB na obdobie 2026 – 2028.

V tomto cykle na roky 2026 – 2028 ECB sprísnila svoj dohľad a postavila kybernetickú a prevádzkovú odolnosť do samotného centra svojej dozornej agendy. Namiesto toho, aby bola kybernetická bezpečnosť vnímaná iba ako technický doplnok, teraz inšpektori ECB vyžadujú, aby banky preukázali schopnosť zachovať kritické služby aj počas závažného výpadku. A to bez ohľadu na to, či je spôsobený geopolitickým napätím, technologickým zlyhaním alebo kolapsom kľúčových outsourcovaných poskytovateľov.

Požiadavky vyplývajúce z priorít na roky 2026 – 2028

V období 2026 – 2028 sa od bánk očakáva plná implementácia požiadaviek nariadenia DORA. Dôraz sa bude klásť najmä na riadenie rizík spojených s ICT dodávateľmi (tretími stranami), reakciu na incidenty a dohľad nad cloudovými službami. Zároveň je nutné odstrániť pretrvávajúce nedostatky v kybernetickej bezpečnosti, riadení outsourcingu av práci s rizikovými dátami.

Nejde pritom o obyčajné „odškrtávanie políčok“ v kontrolných zoznamoch. DORA vyžaduje ucelený program prevádzkovej odolnosti, ktorý zahŕňa kompletné riadenie rizík v oblasti ICT, hlásenia a testovania incidentov, dohľad nad celým životným cyklom tretích strán a outsourcingu kritických funkcií (OSI), a dôkaz, že to všetko v praxi funguje.

Nárast sofistikovaných kybernetických útokov a rastúca závislosť na externých poskytovateľoch podčiarkli nevyhnutnosť odolných systémov, jasne definovanej správy a dôkladne preverených krízových plánov pre všetky kritické operácie.

Dozorné orgány ECB, rovnako zintenzívni dohľad nad technologickým prostredím bánk – od procesov riadenia zmien v systémoch až po zavádzanie nastupujúcich technológií, ako je AI. Na posúdenie schopnosti bánk predchádzať ICT výpadkom, absorbovať ich a zotaviť sa z nich budú využívané cielené previerky, kampane zamerané na outsourcing (OSI) a penetračné testovanie založené na hrozbách (TLPT).

Posolstvo je jasné: prevádzková odolnosť už nesmie byť iba ambíciou. Banky ju musia preukázať v praxi skrze stabilitu technológií, dát a zmluvných vzťahov s dodávateľmi, a to aj v podmienkach extrémneho stresu.

Transformácia, ktorá teraz čaká každú banku

Tento sektor sa dnes nachádza na rázcestí. Od bánk sa očakáva, že prejdú od reaktívnych záplatovaní k budovaniu skutočnej kybernetickej odolnosti napríklad celou organizáciou. To v praxi znamená striktné riadenie a dohľad zhora nadol, lepší prehľad o závislostiach na tretích stranách, modernizáciu zastaraných technológií, ktoré sú kritickým zraniteľným miestom, a integrovanie bezpečnosti priamo do digitálnej transformácie, nie jej dodatočné doplňovanie. Zároveň to vyžaduje zmenu paradigmy: ku kybernetickým incidentom je nutné pristupovať ako k nevyhnutným. Príprava na ne musí zahŕňať dôkladne precvičené procesy obnovy, ktoré je možné v prípade útoku aktivovať okamžite a bez zaváhania.

Rastúci význam strategických poradcov pre kybernetickú bezpečnosť

Pre mnoho bánk vyžaduje naplnenie týchto očakávaní štruktúrovanú podporu. Práve tu sa konzultačné služby v oblasti kybernetickej bezpečnosti stávajú nepostrádateľnou súčasťou procesu zaistenia súladu s legislatívou.

Firmy sa obracajú na konzultantov so žiadosťou o posúdenie nedostatkov v súlade s nariadením DORA, aby zistili, v akých oblastiach vykazujú ich informačné a komunikačné technológie, systémy riadenia a prevádzkové procesy nedostatky, a tiež so žiadosťou o praktické programy na zabezpečenie súladu s predpismi, ktoré pomáhajú s redizajnom interných politík, posilnením riadenia rizík a nastavením efektívnejšieho reportingu.

Bežným štandardom sa stávajú aj paušálne poradenské služby. Tie bankám zaisťujú trvalý prístup k bezpečnostným špecialistom, ktorí ich vykonajú previerkami zo strany dozorných orgánov, prípravou na záťažové testy, simuláciami incidentov či krízovými cvičeniami, a poskytnú podporu pri náprave novo zistených slabín.

Ako byť vždy o krok vpred

Pri pohľade do budúcnosti už zhoda s predpismi nie je len o odškrtávaní políčok pre regulátory, ale skôr o preukazovaní odolnosti v praxi. Banky, ktoré včas investujú do posilnenia kybernetického riadenia, modernizácie technológií, sprísnenia dohľadu nad tretími stranami a testovania plánov reakcie na incidenty, nebudú iba spĺňať očakávania ECB, ale získajú pri svojom fungovaní oveľa väčšiu istotu. Tie, ktoré tak neurobia, sa vystavujú tak tlaku zo strany dohľadu, ako aj reálnym hrozbám, ktoré sú dnes v bankovníctve na dennom poriadku.

Posolstvo je jasné: kybernetická odolnosť sa stala jedným z definujúcich merítok stability banky. Inštitúcie, ktoré k nej pristupujú ako k strategickej priorite – podložené trvalým interným nasadením a správnou externou expertízou – naplnia regulatórne požiadavky a vybudujú si dôveru v rámci konkurenčného prostredia.

AUTOR