美金融监管机构批准新规:银行须在36小时内报告重大网络安全事件
此外,银行(该规则将其定义为"银行组织",包括国家银行、联邦协会和外国银行的联邦分行)--必须在事件已经或可能对其客户产生实质性影响的四个小时或以上的情况下"尽快"通知客户。
“计算机安全事件可能是由破坏性的恶意软件或恶意软件(网络攻击),以及硬件和软件的非恶意故障、人员错误和其他原因造成的,”计算机安全事件通知最终规则解释道。“近年来,针对金融服务行业的网络攻击的频率和严重程度都在增加。这些网络攻击会对银行组织的网络、数据和系统产生不利影响,并最终影响其恢复正常运营的能力。”
由联邦存款保险公司(FDIC)、联邦储备系统理事会(Board)和货币监理署(OCC)批准的最终规则将于2022年4月1日生效,预计将于2022年5月1日全面遵守。
FDIC在一份声明中告诉TechCrunch,这些规则"将只适用于那些由三个银行机构(FDIC、美联储或货币监理署)承保或监管的实体,或为受监管银行提供服务的组织"。
金融监管机构在12月首次提出通知要求,但在收到行业团体的一些负面反馈后,它被迫改变了最终规则的一些内容。例如,最初的版本说,如果银行"真诚地相信"他们遭受了重大的网络事件,就必须报告事件,但业界警告说,这可能会导致对各种事件的过度报告,因此该规则被修改。
“在仔细考虑了意见后,机构正在用银行组织的决定取代‘善意的信念’标准,”最终规则摘要指出。“机构同意评论者的意见,他们批评拟议的'善意相信'标准过于主观和不精确。”
银行政策研究所是对该法规提出意见的行业团体之一,它在一份声明中说,它支持最终规则。
“BPI认识到及时通知的价值,并支持最终规则,该规则为在发生重大事件时通知监管机构和受影响方确立了明确的时间表和灵活的程序,”BPI技术和风险战略高级副总裁Heather Hogsett说。“该规则还重要的是保持了通知和报告之间的明确区别。网络事件通知鼓励监管机构和银行之间的早期合作,以便监管机构了解可能对整个金融系统产生更广泛影响的情况,同时银行努力应对和调查该事件。”