El ejercicio comenzó en enero de 2024 e incluyó un escenario ficticio en el que fallaban todas las medidas preventivas y un ciberataque afectaba gravemente a las bases de datos de los sistemas principales de cada entidad. Por tanto, la prueba de resistencia se centró en la respuesta y recuperación de las entidades de crédito frente a un incidente de ciberseguridad, en lugar de en su manera de impedirlo.
Detectar y abordar deficiencias en los marcos de resiliencia operativa de las entidades supervisadas, incluidas las derivadas de los ciberriesgos, es una de las prioridades supervisoras del Mecanismo Único de Supervisión del BCE para 2024-2026. Esto se debe al reciente aumento de los ciberincidentes que las entidades supervisadas han comunicado al BCE, y que tienen su origen, en parte, en la intensificación de las tensiones geopolíticas y en los retos que la digitalización plantea para el sector bancario.
En la prueba de resistencia participaron 109 entidades de crédito supervisadas directamente por el BCE. Todas ellas respondieron a un cuestionario y presentaron documentación para su análisis por los supervisores, y se seleccionó para pruebas más detalladas a una muestra de 28 entidades. Estas tuvieron que realizar una prueba real de recuperación informática y aportar pruebas de que el resultado había sido satisfactorio. También recibieron visitas in situ de los supervisores. La muestra incluyó diferentes modelos de negocio y ubicaciones geográficas para abarcar el conjunto del sistema bancario de la zona del euro y asegurar una coordinación suficiente con otras actividades supervisoras.
Para la evaluación de su respuesta al escenario, las entidades tuvieron que demostrar su capacidad para:
• activar sus planes de respuesta frente a crisis, incluidos los procedimientos de gestión de crisis internos y los planes de continuidad del negocio;
• comunicarse con todas las partes interesadas externas, como clientes, proveedores de servicios y cuerpos y fuerzas de seguridad;
• llevar a cabo un análisis para determinar qué servicios se verían afectados y de qué manera;
• aplicar medidas de mitigación, incluidas soluciones alternativas que ayudarían a la entidad a operar durante el tiempo necesario para recuperar plenamente los sistemas informáticos.
Para la evaluación de su capacidad de recuperación frente al escenario, las entidades tuvieron que demostrar que podrían:
• activar sus planes de recuperación, incluido el restablecimiento de los datos guardados en copias de seguridad y la coordinación de la respuesta al incidente con los proveedores de servicios externos críticos;
• asegurar la recuperación y el funcionamiento de las áreas afectadas;
• aplicar las enseñanzas extraídas, por ejemplo, revisando sus planes de respuesta y de recuperación.
El BCE se ha comprometido a seguir trabajando con las entidades que supervisa para reforzar su marco de ciberresiliencia. Para ello, continuará animando a las entidades a seguir avanzando en el cumplimiento de las expectativas supervisoras, asegurándose, entre otras cosas, de que cuentan con planes adecuados de continuidad del negocio, comunicación y recuperación que consideran una gama suficientemente amplia de escenarios de ciberriesgo. Las entidades también deben poder cumplir sus propios objetivos de recuperación, evaluar adecuadamente las dependencias de proveedores de servicios externos críticos de TIC, y estimar adecuadamente las pérdidas directas e indirectas derivadas de un ciberataque.
Los resultados del ejercicio se tendrán en cuenta en el PRES de 2024, que evalúa los perfiles de riesgo individuales de las entidades. La prueba de resistencia sobre ciberresiliencia no se centró en el capital de las entidades, por lo que sus resultados no afectarán a la recomendación de Pilar 2. Los supervisores han enviado comentarios a cada entidad y realizarán junto a ellas un seguimiento de los mismos. En algunos casos, las entidades ya han mejorado o tienen previsto subsanar las deficiencias detectadas en el ejercicio.