西班牙 ： 金融部门评估计划 - 关于网络风险和金融稳定的技术说明

2024年8月 西班牙 金融行业评估计划 关于网络风险和财务稳定性的技术注记 货币基金组织国家报告第24/263号 这份关于西班牙的文件是由国际货币基金组织的一个工作人员小组编写的，作为与西班牙进行定期磋商的背景文件。它基于2024年7月12日完成时获得的信息。 本报告的副本可从以下位置向公众提供 国际货币基金组织出版服务邮政信箱92780华盛顿特区 20090电话：（202）623-7430传真：(202)623- 7201 E-mail:publications@imf.orgWeb:http://www.imf.org 国际货币基金组织华盛顿特区 ©2024国际货币基金组织 西班牙 金融行业评估计划 2024年7月 12日 技术说明 网络风险与财务稳定性 监管中的若干问题 本技术说明是在国际货币基金组织在西班牙的金融部门评估计划（FSAP）任务的背景下编写的。它包含技术分析和支持FSAP调查结果和建议的详细信息。有关FSAP计划的更多信息，请访问http://www.imf.org/external/np/fsap/fssa.aspx 编制人 货币和资本市场部 CONTENTS 词汇表3 执行摘要5 介绍8 上下文8 评估范围9 机构和监管框架10 法律依据10 其他相关监管和监管预期11 网络风险监管的内部组织与资源配置12结论14 建议14 监督做法15 非现场监督16 BdE的LSI现场考试18 LSI的主题评论19 网络安全测试和危机练习网 络风险监管中的20个主题问题23 协调与合作25 强制执行26 Conclusions27 建议28 TABLE 1.关键建议7 2国际货币基金 词汇表 BCBSBCMBdEBISBMECCPCERTCIOCISOCNPICCNMVCPMICROECSDCSDRCSPCTP DG.OMSDG.SUPDGSFPDORAEAEBA ECBECBREMIRESRBEU 欧盟-CCPFMIFSB FS-ISACICT IMFIOSCOISO ITJSTLSI 巴塞尔银行监管委员会业务连续性管理西班牙银行 国际清算银行BolsasyMercadosEspañoles中央交易对手 计算机应急小组首席信息官首席信息安全官 国家保护关键基础设施委员会中心 支付和市场基础设施委员会网络风险监督预期中央证券存管机构 中央证券存管监管云服务提供商关键第三方 BdE银行监管总局业务，市场和支付系统总局经济部保险和养老基金总局数字运营弹性法案欧元区 欧洲银行管理局欧洲中央银行 欧洲网络弹性委员会欧洲市场基础设施监管欧洲系统性风险委员会 欧洲联盟 欧盟-中央对手方金融市场基础设施金融稳定委员会 信息和通信技术国际货币基金组织金融服务信息共享和分析中心国际证券委员会组织国际标准化组织信息技术 联合监督小组 不太重要的银行机构 国际货币基金3 NISPFMIRTSSISREPSSM TIBER-ESTTP SISREPSSM 网络和信息系统安全指令 CPMI-IOSCO金融市场基础设施监管技术标准原则重要银行机构 监督评审过程单一监督机制 基于威胁情报的道德红色团队策略，技术和程序重要的银行机构 监督评审过程单一监督机制 执行摘要 评估范围涵盖了西班牙重要性较小的银行机构（LSI）和金融市场基础设施（FMI）的网络风险的监管和监督。1Thus,thefinancialsupervisoryauthoritiesinscopeweretheBancodeEspaña(BdE)andtheComisiónNacionaldelMercadodeValores(CNMV),togetherreferredasauthorities.Supervisionofimportance 中央银行的单一监督机制(ECB/SSM)，没有进行评估。 在操作风险和弹性的更广泛背景下，金融部门的技术风险和网络弹性已成为当局的重点领域。Forexample,thisisclearlyspelledoutasasupervisorypriorityoftheBdEfor2023.TheCNMVhasalsohighednetworkrisksupervisionactivitiesinrecentyears. 从提供金融服务的连续性和西班牙金融系统的稳定性的角度来看，当局加强关注是及时和重要的。影响大量LSI或这些公司的关键第三方服务提供商的网络事件可能会导致突然和重大的不利溢出，从而导致系统性中断，例如大规模中断金融服务。由于FMI的不可替代性和相互联系，诸如金融市场基础设施（FMI）的破坏或完整性妥协之类 的单一公司事件也可能对金融体系产生不利影响。此外，由于西班牙金融体系的规模和国际重要性，国内网络事件有可能通过相互联系和金融传染而远远超出国界。 当局根据完全符合欧盟（EU）法规的监管框架履行职责。相关的欧盟立法可以在西班牙转置或直接适用。此外， BdE自2014年成立以来就是SSM的一部分，根据欧盟立法，CNMV和BdE都参加了欧盟-中央对手方（EU- CCP）监管学院。2 法律基础和相关法规传达了足够的权力来实现网络风险监管。对于以任何形式收集有关任何相关事项的信息，有足够广泛的权力，可以评估合规性，采取纠正措施以使监督机构和FMI在合理的时间范围内纠正事项，并采取制裁措施并采取执法行动作为最后手段确保合规性。 FSAP发现当局在范围内对LSI和FMI的网络风险监管实践与适用的法规和指导和现行 1“监督”用于共同表示银行监督和FMI监督和监督。当仅处理FMI时，使用术语监督。 2欧洲市场基础设施条例（EMIR）。 国际良好做法。主要优势包括：（i）明确的监管期望，沟通良好；（ii）有效的基于风险的方法和监管中相称性的应用；（iii）在BdE进行有用且经过充分验证的横向审查；（iv）在BdE强烈强调基于证据的现场检查，以及CNMV和BdE的彻底和详细的非现场监督程序，特别是考虑到其资源限制；（v）强调安全测试；（vi） 对监管框架的变化采取主动措施，例如确保未来的数字运营弹性法案（DORA）合规；（vii）BdE和CNMV的有效内部协调与合作。 资源限制是当局面临的最突出的挑战。严格的招聘和就业政策和规则会对当局履行职责并跟上快速变化的网络安全威胁格局和由此产生的风险的实际能力产生负面影响。国际标准要求预算程序确保资源充足，以保持业务自主权。在这种情况下，CNMV必须遵循的年度流程，以确保政府批准其预算，在其确保足够数量的人员和人员配置的扩大方面引入了不确定性，包括在竞争激烈的网络安全领域的专家和专业人力资源。鉴于FSAP在当前监管实践中发现的挑战， 这是一个重要问题，并且只会在短期内增长，反映出网络威胁的迅速扩大和新的欧盟法规的实施，例如DORA。当局的网络风险监管交付能力已经得到充分利用，此外，CNMV的能力远低于当前需求。重要的是要确保BdE和CNMV做好充分的准备和资源，以承担其扩大的职责。 尽管网络风险监管的整体实力很强，但许多进一步的弱点会产生负面影响。最重要的是：（i）CNMV或BdE的FMI监督业务领域没有现场监督流程，这导致对合规性的保证相对较弱；（ii）BdE的当前方法，(iii)BdE和CNMV都不参与国家关键基础设施相关事项，即使它们可能处于最佳位置来解决金融系统中关键服务连续性的复杂性 ；(iv)当前基于威胁情报的道德红色团队框架(TIBER-ES)不适合大多数LSIs，但其对成本/TIBER框架的需求很好。 表1.西班牙：主要建议 建议 定时 参考 Agency 机构和监管框架 1.优先填补现有空缺职位，并通过考虑三到五年内当前和预计的工作量来评估增加网络风险专家人数的必要性。 I 31.a. BdE 2.估计当前和预计的未来工作量，确保与这些资源保持一致，并在征聘和保留过程中拥有充分的自主权，以便在征聘时更加有效 额外的工作人员在适当的经验和能力水平。 ST 31.a. CNMV政府 3.建立并配备一个小型网络风险能力中心，具有横向（交叉）任务，为具有网络风险监督组件的所有活动提供专家支持。 ST 31.a. CNMV 监督做法 4.StartplanningandexecutiononsiteexaminationsaspartofFMIsupervision. 措施。 ST 99.a. BdECNMV 5.进行更多，更有重点的主题审查，同时保持基于短期现场访问的验证审查人群的样本。 ST 99.a. BdE 6.BdE和CNMV都应参与关键基础设施 相关事项，如指定和合规评估 ST 99.a. 政府 7.考虑在TIBER-ES的每个测试中使用针对特定机构的特定部门威胁情报，以降低成本，同时保持与TIBER的兼容性。 I 99.a. BdE 8.基于TIBER-ES原则，开发基于较轻威胁情报的红色团队框架，考虑一般较低典型LSI的复杂性、成熟度和成本承受能力。 MT 99.a. BdECNMVDGSFP 1/立即（年内）；ST短期（1-2年内）；MT中期（3-5年内） INTRODUCTION3 上下文 1.恶意网络行为者继续发展和改进他们的战术、技术和程序。近年来，网络风险的特点是检测到的数据泄露数量显着增加。4利用供应链中的关键漏洞(例如Procedre，对MOVEit，GoAywhere和MicrosoftAzre的高影响力入侵），网络钓鱼活动和分布式拒绝服务攻击一直没有减弱。值得注意的是，在2023年，金融服务公司在网络钓鱼目标中排名全球第三，其供应链中的关键服务，如电信、云和电子邮件提供商也位居前五名。5此外, 非恶意事件，如意外数据披露和配置，以及实施或处理错误，仍然是网络风险的重要来源。 2.向数字化工作流程的转变和远程访问技术的广泛使用进一步增加了网络攻击的风险。 3.关键第三方越来越被认为是系统性网络风险的潜在来源。损害广泛采用的技术解决方案或常用的提供商可能是同时违反一系列金融机构的有效方法，例如在今年早些时候MOVEit文件交换平台遭到黑客攻击的情况下所示。由于规模经济和网络效应，机构之间的技术多样性正在减少。金融机构正在采用通用的软件解决方案，购买高度相似的 硬件组件，并迁移到一小部分全球云服务提供商（CSP）。通过这种方式，供应链中的网络安全事件可以更容易地传播到金融系统的广大地区。 4.因此，随着网络安全事件的发生，金融服务公司需要不断提高其运营和网络弹性。在当前的网络威胁环境中，及时检测此类事件以及响应和恢复的强大能力至关重要。 5.针对这些事态发展，西班牙当局已将网络风险确定为更广泛的运营风险范围内的主要问题，并具有潜在的系统性影响。例如，这是BdE在2023年对LSI监管的优先事项之一，CNMV也将更多的注意力集中在要求和跟进自我评估上，也 3本技术说明由TamasGaidosch（IMF）编写。 4例如，参见2023年Verizon数据泄露调查报告。 5网络钓鱼是导致数据泄露的最普遍的攻击载体之一。通常，对金融部门公司的供应商进行网络钓鱼是为了促进针对他们的更有针对性的网络攻击。 8国际货币基金 与BdE合作。6当局在2022-2023年的工作反映了网络风险的优先级别，如果是BdE，则建立在其进行详细和侵入性网络风险监管的较长历史上。 评估范围 6.该说明回顾了西班牙金融部门LSI和FMI部门的网络风险监管框架和监管实践。这包括当局在制定和维护网络安全监管框架，现场和非现场监管流程以及检测，响应和从网络安全事件中恢复的网络弹性框架中的作用和实践。西班牙对SI的微观审慎监管属于ECB/SSM的职权范围，未经评估。 7.FMI部分的范围包括（i）由Iberpay运营的支付系统；（ii）BolsasyMercadosEspañolesClearing（BMEC），中央交易对手（CCP）；（iii）Iberclear（IC），中央证券托管机构（CSD）。BdE监督和监