金融公司预计欧洲网络安全法将带来巨大改变

2024年2月15日14:25 CST 更新

金融公司及其技术供应商将需要付出大量努力，以遵守将于明年初生效的一部欧洲网络安全法。

这项法律因要求企业在风险管理方式上作出重大改变而受到关注。它适用于大大小小的技术供应商或服务公司，如云计算提供商。

伦敦证券交易所集团(London Stock Exchange Group)技术、网络和弹性风险部门主管Sabrina Feng周二在布鲁塞尔举行的一次会议上说：“即使对那些真正做好准备的公司来说，这也将是一种范式转变。”她说，那些尚未建立网络风险管理流程的中小型公司可能需要在准备过程中重新考虑其业务模式。

Feng说，这项去年获批的法律将要求公司改变其测试安全系统和向监管机构报告网络安全攻击的方式。根据规定，金融公司需要“全面”解决在关键系统安全测试中发现的薄弱环节。规模较大的公司需要每三年进行一次更高级的穿透测试，包括测试外包给第三方的任何技术服务。

不遵守这些规定的公司可能面临罚款和改变安全流程的命令。从2025年1月起，该法将适用于在欧盟开展业务的公司。

虽然该法律带来了挑战，但Feng说，它将有助于提高与银行和其他金融机构合作的技术供应商的安全标准。她表示，这将“为我们提供这个平等的竞争环境”。

参与监督该法规的官员说，这项法律还可能帮助那些抱怨对大型技术供应商没有讨价还价能力的公司。欧洲证券和市场管理局(European Securities and Markets Authority)的官员Barbara Daskala在同一次会议上发言时说，希望这项法律能给这些公司带来更多合同方面的影响力，让它们可以要求供应商改进安全措施。该局负责监管欧盟内部金融市场。

万事达卡(Mastercard)网络安全产品创新执行副总裁Rigo Van den Broeck说，大多数金融机构已建立管理直接技术供应商网络风险的流程，但对与这些机构的供应商合作的供应商可能没有同等程度的监督。这些所谓的第四方供应商仍可能对金融公司构成风险。

“很多金融机构仍在努力解决这个问题，”他说。

金融公司及其服务提供商经常成为黑客攻击的目标。本周一，美国银行(Bank of America)的服务提供商Infosys McCamish Systems在向缅因州检察长提交的一份披露文件中称，约有57,000名银行客户的个人数据在一次网络攻击中被暴露。披露文件称，黑客于去年11月进入了Infosys的系统。

这部欧盟法律要求企业高级管理层承担监督网络风险的责任，但没有规定负责网络风险的最高级员工需要具备什么职称。Feng说，这一要求可能会迫使网络团队和风险团队合作。在担任当前的伦敦证券交易所集团网络风险主管之前，Feng曾在金融公司技术供应商Equiniti担任首席信息安全官。

她说，风险团队可以通过关注更广泛的风险管理而不是特定的安全保护措施，在不干扰网络安全同行工作的情况下帮助他们。她说，职责重叠可能会造成摩擦。

“在担任首席信息安全官时，我讨厌我们的风险团队，”她说。“我在想，这些人对安全一无所知，却跑来给我提建议。”