西班牙 ： 金融部门评估计划 - 关于网络风险和金融稳定的技术说明

货币基金组织国家报告第24 / 263号 西班牙 金融行业评估计划 2024年8月 关于网络风险和财务稳定性的技术注记 这份关于西班牙的文件是由国际货币基金组织的一个工作人员小组编写的，作为与西班牙进行定期磋商的背景文件。它基于2024年7月12日完成时获得的信息。 本报告的副本可从以下位置向公众提供国际货币基金组织出版服务邮政信箱92780华盛顿特区20090电话：（202）623 - 7430传真：(202) 623 -7201E - mail: publications @ imf. org Web: http: / / www. imf. org 西班牙 金融行业评估计划 2024年7月12日 技术说明 网络风险与财务稳定性监管中的若干问题 本技术说明是在国际货币基金组织在西班牙的金融部门评估计划（FSAP）任务的背景下编写的。它包含技术分析和支持FSAP调查结果和建议的详细信息。有关FSAP计划的更多信息，请访问http: / / www. imf. org / external / np / fsap /fssa. aspx 编制人货币和资本市场部 CONTENTS 词汇表3 执行摘要5 上下文8评估范围9 机构和监管框架 10 法律依据10其他相关监管和监管预期11网络风险监管的内部组织与资源配置12结论14建议14 监督做法 非现场监督16BdE的LSI现场考试18LSI的主题评论19网络安全测试和危机练习网络风险监管中的20个主题问题23协调与合作25强制执行26Conclusions27建议28 TABLE 7 词汇表 BCBSBCMBdE BISBMECCPCERTCIOCISOCNPICCNMVCPMICROECSDCSDRCSPCTPDG. OMSDG. SUPDGSFPDORA EAEBAECBECBREMIRESRBEU欧盟-CCP FMIFSBFS - ISACICTIMFIOSCOISOITJSTLSI巴塞尔银行监管委员会业务连续性管理西班牙银行国际清算银行Bolsas y Mercados Espa ñoles中央交易对手计算机应急小组首席信息官首席信息安全官国家保护关键基础设施委员会中心支付和市场基础设施委员会网络风险监督预期中央证券存管机构中央证券存管监管云服务提供商关键第三方BdE银行监管总局业务，市场和支付系统总局经济部保险和养老基金总局数字运营弹性法案欧元区欧洲银行管理局欧洲中央银行欧洲网络弹性委员会欧洲市场基础设施监管欧洲系统性风险委员会欧洲联盟欧盟-中央对手方金融市场基础设施金融稳定委员会信息和通信技术国际货币基金组织金融服务信息共享和分析中心国际证券委员会组织国际标准化组织信息技术联合监督小组不太重要的银行机构 西班牙 NISPFMIRTSSISREPSSMTIBER - ESTTPSISREPSSM网络和信息系统安全指令CPMI - IOSCO金融市场基础设施监管技术标准原则重要银行机构监督评审过程单一监督机制基于威胁情报的道德红色团队策略，技术和程序重要的银行机构监督评审过程单一监督机制 执行摘要 评估范围涵盖了西班牙重要性较小的银行机构（LSI）和金融市场基础设施（FMI）的网络风险的监管和监督。1Thus, the financial supervisory authorities in scope were the Banco de Espa ñ a (BdE) and the Comisi ó n Nacional delMercado de Valores (CNMV), together referred as authorities. Supervision of importance中央银行的单一监督机制(ECB / SSM)，没有进行评估。 在操作风险和弹性的更广泛背景下，金融部门的技术风险和网络弹性已成为当局的重点领域。For example, this isclearly spelled out as a supervisory priority of the BdE for 2023. The CNMV has also highed network risk supervisionactivities in recent years. 从提供金融服务的连续性和西班牙金融系统的稳定性的角度来看，当局加强关注是及时和重要的。影响大量LSI或这些公司的关键第三方服务提供商的网络事件可能会导致突然和重大的不利溢出，从而导致系统性中断，例如大规模中断金融服务。由于FMI的不可替代性和相互联系，诸如金融市场基础设施（FMI）的破坏或完整性妥协之类的单一公司事件也可能对金融体系产生不利影响。此外，由于西班牙金融体系的规模和国际重要性，国内网络事件有可能通过相互联系和金融传染而远远超出国界。 当局根据完全符合欧盟（EU）法规的监管框架履行职责。相关的欧盟立法可以在西班牙转置或直接适用。此外，BdE自2014年成立以来就是SSM的一部分，根据欧盟立法，CNMV和BdE都参加了欧盟-中央对手方（EU -CCP）监管学院。2 法律基础和相关法规传达了足够的权力来实现网络风险监管。对于以任何形式收集有关任何相关事项的信息，有足够广泛的权力，可以评估合规性，采取纠正措施以使监督机构和FMI在合理的时间范围内纠正事项，并采取制裁措施并采取执法行动作为最后手段确保合规性。 FSAP发现当局在范围内对LSI和FMI的网络风险监管实践与适用的法规和指导和现行 国际良好做法。主要优势包括：（i）明确的监管期望，沟通良好；（ii）有效的基于风险的方法和监管中相称性的应用；（iii）在BdE进行有用且经过充分验证的横向审查；（iv）在BdE强烈强调基于证据的现场检查，以及CNMV和BdE的彻底和详细的非现场监督程序，特别是考虑到其资源限制；（v）强调安全测试；（vi）对监管框架的变化采取主动措施，例如确保未来的数字运营弹性法案（DORA）合规；（vii）BdE和CNMV的有效内部协调与合作。 资源限制是当局面临的最突出的挑战。严格的招聘和就业政策和规则会对当局履行职责并跟上快速变化的网络安全威胁格局和由此产生的风险的实际能力产生负面影响。国际标准要求预算程序确保资源充足，以保持业务自主权。在这种情况下，CNMV必须遵循的年度流程，以确保政府批准其预算，在其确保足够数量的人员和人员配置的扩大方面引入了不确定性，包括在竞争激烈的网络安全领域的专家和专业人力资源。鉴于FSAP在当前监管实践中发现的挑战，这是一个重要问题，并且只会在短期内增长，反映出网络威胁的迅速扩大和新的欧盟法规的实施，例如DORA。当局的网络风险监管交付能力已经得到充分利用，此外，CNMV的能力远低于当前需求。重要的是要确保BdE和CNMV做好充分的准备和资源，以承担其扩大的职责。 尽管网络风险监管的整体实力很强，但许多进一步的弱点会产生负面影响。最重要的是：（i）CNMV或BdE的FMI监督业务领域没有现场监督流程，这导致对合规性的保证相对较弱；（ii）BdE的当前方法，(iii) BdE和CNMV都不参与国家关键基础设施相关事项，即使它们可能处于最佳位置来解决金融系统中关键服务连续性的复杂性；(iv)当前基于威胁情报的道德红色团队框架(TIBER - ES)不适合大多数LSIs，但其对成本/ TIBER框架的需求很好。 INTRODUCTION3 上下文 1.恶意网络行为者继续发展和改进他们的战术、技术和程序。近年来，网络风险的特点是检测到的数据泄露数量显着增加。4利用供应链中的关键漏洞(例如Procedre，对MOVEit，GoAywhere和Microsoft Azre的高影响力入侵），网络钓鱼活动和分布式拒绝服务攻击一直没有减弱。值得注意的是，在2023年，金融服务公司在网络钓鱼目标中排名全球第三，其供应链中的关键服务，如电信、云和电子邮件提供商也位居前五名。5此外,非恶意事件，如意外数据披露和配置，以及实施或处理错误，仍然是网络风险的重要来源。 2.向数字化工作流程的转变和远程访问技术的广泛使用进一步增加了网络攻击的风险。 3.关键第三方越来越被认为是系统性网络风险的潜在来源。损害广泛采用的技术解决方案或常用的提供商可能是同时违反一系列金融机构的有效方法，例如在今年早些时候MOVEit文件交换平台遭到黑客攻击的情况下所示。由于规模经济和网络效应，机构之间的技术多样性正在减少。金融机构正在采用通用的软件解决方案，购买高度相似的硬件组件，并迁移到一小部分全球云服务提供商（CSP）。通过这种方式，供应链中的网络安全事件可以更容易地传播到金融系统的广大地区。 4.因此，随着网络安全事件的发生，金融服务公司需要不断提高其运营和网络弹性。在当前的网络威胁环境中，及时检测此类事件以及响应和恢复的强大能力至关重要。 5.针对这些事态发展，西班牙当局已将网络风险确定为更广泛的运营风险范围内的主要问题，并具有潜在的系统性影响。例如，这是BdE在2023年对LSI监管的优先事项之一，CNMV也将更多的注意力集中在要求和跟进自我评估上，也 与BdE合作。6当局在2022 - 2023年的工作反映了网络风险的优先级别，如果是BdE，则建立在其进行详细和侵入性网络风险监管的较长历史上。 评估范围 6.该说明回顾了西班牙金融部门LSI和FMI部门的网络风险监管框架和监管实践。这包括当局在制定和维护网络安全监管框架，现场和非现场监管流程以及检测，响应和从网络安全事件中恢复的网络弹性框架中的作用和实践。西班牙对SI的微观审慎监管属于ECB / SSM的职权范围，未经评估。 7.FMI部分的范围包括（i）由Iberpay运营的支付系统；（ii）Bolsas y Mercados Espa ñ olesClearing（BMEC），中央交易对手（CCP）；（iii）Iberclear（IC），中央证券托管机构（CSD）。BdE监督和监督Iberpay，该公司运行由西班牙金融机构共同拥有的西班牙国家电子支付系统SNCE。CNMV监督瑞士SIX集团的两家子公司IC和BMEC，后者又由瑞士金融市场监管局FINMA监督。根据西班牙《证券市场法》，BdE还负责证券FMI的监督，因此也是IC和BMEC的监督者，但没有协调CNMV和BdE之间的网络风险监督。7 8.特派团从几个来源收集了信息。其中包括BdE，CNMV和内政部提供的调查表答复，对这些当局和监督机构的访谈，对相关法律和法令的研究以及当局工作的文件，例如监督计划，工作文件，报告和其他必要的证据。 9.审查的分析、结论和建议以国际监管和监督良好做法为指导。以下文件被用作评估的基础：（i）欧洲银行业管理局（EBA）监督审查和评估程序（SREP）下的信息和通信技术（ICT）风险评估指南；（ii）EBA关于ICT和安全风险管理的指南；（iii）EBA关于外包安排的指南；（iv）对FMI的网络弹性监督期望（CROE）；（v）MICSCO发布的金融弹性管理指南；指导和监管实践；（vii）巴塞尔银行监管委员会（BCBS）的网络弹性：实践范围；（viii）国际货币基金组织关于网络风险监管的部门文件。 10.该说明认为网络风险和ICT风险是重大重叠的，并且是两类操作风险。这符合当局自己的风险分类和FSB网络词典的定义。 机构和监管框架 法律依据 11.BdE和CNMV都根据国家法律框架运作，在该框架中，所有相关的欧盟立法要么完全转化为国内法，要么直接适用。因此，西班牙LSI和FMI的网络风险监管框架与其他欧盟成员国的框架非常相似，尤其是欧元区（EA）的框架。 12.BdE对信贷机构的监管职责主要基于《BdE自治法》和《欧盟SSM条例》。自2014年以来，西班牙SI在SSM中受到监督，欧洲央行在SSM中发挥领导作用，BdE和银行联盟中的其他国家金融监管机构也参与其中。8在LSI的情况下，