De nieuwe regels voor cyberaanvallen en rapportage voor Britse financiële bedrijven ‘leggen een duidelijke lat’ die organisaties moeten halen door hun reactie op realistische scenario’s te testen, aldus de business continuity-experts van Databarracks.
Financiële dienstverleners die zich voorbereiden op het melden van cyberincidenten, ook bij externe leveranciers, vanaf maart 2027, moeten hun incidentresponsplannen goed testen. Dit kan door frequente en “veeleisende en rigoureuze” oefeningen uit te voeren die voldoen aan de eisen van de Financial Conduct Authority, maar er ook voor zorgen dat het bedrijf kan blijven functioneren als gegevens en systemen verloren gaan, aldus Databarracks.Volgens de nieuwe regels moeten bedrijven binnen 24 uur meldingstermijnen indienen voor de ernstigste cyberincidenten. Ook moeten ze hun externe leveranciers registreren en de lijst jaarlijks bijwerken. Dit helpt de toezichthouder te bepalen waar een incident bij één leverancier zich kan verspreiden binnen de financiële sector.
Waarschuwing
Chris Butler, director Resilience bij Databarracks, waarschuwde bedrijven dat de verplichting om een inbreuk bij een externe leverancier te melden en af te handelen ‘bij het gereguleerde bedrijf ligt… deze verplichting gaat niet over op de leverancier’.Organisaties hebben robuuste systemen voor leveranciersmonitoring en duidelijke contractuele verplichtingen nodig om dit te weerspiegelen.”
Bovendien is de Britse overheid van plan wetgeving in te voeren die betalingen bij ransomware in sommige gevallen verbiedt. Dit legt nog meer druk op de bedrijfscontinuïteitsmaatregelen, die getest moeten worden en bestand moeten zijn tegen daadwerkelijke incidenten. “Deze maatregelen weerspiegelen een duidelijke verwachting van toezichthouders dat bedrijven procedures voor incidentrespons moeten hebben die voldoen aan precieze, tijdgebonden verplichtingen.”
Vertrouwen in incidentrespons is alleen gerechtvaardigd als de procedures erachter goed getest zijn, aldus Butler. “Oefeningen moeten veeleisend en grondig zijn, regelmatig worden bijgewerkt en uitstekende bedrijfscontinuïteitsmaatregelen omvatten om de bedrijfsvoering te waarborgen, zelfs onder handmatige of minimale operationele omstandigheden. Uitgebreide back-ups zijn ook essentieel om systemen te herstellen als er gegevens verloren gaan. Veerkracht als operationele discipline is heel anders dan veerkracht als jaarlijkse compliance-taak”, aldus Butler.
Darren Tingley, service director bij Databarracks, legt uit: “Oefenen met alle medewerkers die bij de respons betrokken zijn, is cruciaal. Plannen hebben zonder ze te testen leidt vrijwel zeker tot een gebrek aan verbinding tussen teams op de momenten dat het erop aankomt. Waar het uiteindelijk op neerkomt, is of organisaties in de praktijk aan de eisen kunnen voldoen, niet of ze denken dat ze dat kunnen.”
