A Federal Deposit Insurance Corporation (FDIC), o Conselho de Governadores do Federal Reserve Board e o Gabinete do Controlador da Moeda (OCC) dos Estados Unidos anunciaram a versão final dos requisitos de notificação para incidentes de segurança cibernética para organizações bancárias. De acordo com eles, os bancos americanos serão obrigados a notificar os reguladores federais sobre incidentes cibernéticos dentro de 36 horas após sua descoberta.
Fonte da imagem: TheDigitalWay / Pixabay
De acordo com os dados disponíveis, as novas regras entrarão em vigor em 1º de abril de 2022, mas não entrarão em vigor até 1º de maio. Como tal, as instituições financeiras supervisionadas pela FDIC serão obrigadas a notificar o contato designado da agência por e-mail, telefone ou de outra forma “assim que possível, mas no máximo 36 horas” após a organização encontrar um incidente de segurança cibernética. Os provedores de serviços bancários também serão obrigados a notificar as instituições financeiras nos casos em que o serviço for interrompido por mais de quatro horas.
As novas regras dizem que um “incidente de segurança” é qualquer evento que prejudique a confidencialidade, integridade ou disponibilidade dos sistemas de informação. Ao mesmo tempo, “incidentes de notificação” são eventos que levam a sérias interrupções nos negócios e impedem os bancos de operar normalmente. Falhas de computador, negação de serviço (DoS) e ataques de ransomware são citados como exemplos. As novas regras obrigam as instituições financeiras a notificar os reguladores sobre os incidentes, mas uma avaliação e análise completas da situação vão demorar mais.