Tillsynsmeddelande 4.3.2022 – 14/2022

Finansinspektionen uppmanar till en effektiverad uppföljning av cybersäkerheten

Det försämrade internationella säkerhetsläget ökar risken för cyber­attacker även mot finansiella aktörer och tjänsteproducenter. Finans­inspektionen uppmanar företagen under tillsyn till en effektiverad uppföljning av cybersäkerheten.

Skyddsåtgärder mot cyberhot, identifiering av cyberhändelser och reagerande på dem

Finansinspektionen uppmanar företagen under tillsyn att säkerställa att de har uppdaterade säkerhetsåtgärder mot olika cyberrisker. Dessutom är det viktigt att säkerställa att även de samarbetspartner som sköter utlagda funktioner har berett sig för cyberhot med lämpliga säkerhets­åtgärder.

Företagen under tillsyn ska säkerställa att de snabbt kan identifiera informationssäkerhetsavvikelser som riktas mot deras ICT-miljöer och omedelbart kan reagera på cyberhändelser eller -störningar.

Riskbedömningar, kontinuitetsplaner och utlagda funktioner

Företagen under tillsyn ska ha uppdaterade riskbedömningar av sina ICT-miljöer, riskhanteringsåtgärder och tekniska säkerhetsåtgärder.

Företagen under tillsyn ska se till att de har uppdaterade kontinuitets­planer för de olika funktionerna och uppdaterade återställningsplaner för de olika systemen. Det bör särskilt säkerställas att anvisningarna och verksamhetsmodellerna för behandlingen av olika informationssäker­hets­avvikelser är uppdaterade. Det är också viktigt att ombesörja de utlagda funktionernas säkerhet och kontinuitet genom hela service­kedjan nu då cyberhoten ökar.

Uppföljning av Cybersäkerhetscentrets anvisningar

Cybersäkerhetscentret i Finland bildar sin nationella lägesbild över cyber­säkerheten bl.a. utifrån inlämnade anmälningar. Finans­inspek­tionen uppmanar företagen under tillsyn att följa cybersäkerhetsläget via myndigheternas, särskilt Cybersäkerhetscentrets meddelanden och lägesbildsprodukter, att iaktta Cybersäkerhetscentrets anvisningar i sin verksamhet och att med låg tröskel anmäla misstänkta informations­säkerhetsavvikelser till Cybersäkerhetscentret.

Avvikelser ska rapporteras till Finansinspektionen

Finansinspektionen ska anmälas om betydande störningar och fel i betalnings- och datasystem omedelbart när störningar uppdagas. Även betydande informationssäkerhetsavvikelser och särskilt cyberattacker ska anmälas omedelbart när de uppdagas.

Närmare upplysningar lämnas av

Markku Koponen, byråchef, tfn 09 183 5389