Las agencias federales de regulación bancaria de Estados Unidos han aprobado una nueva norma que ordena a los bancos notificar a sus principales reguladores federales los incidentes de seguridad informática importantes en un plazo de 36 horas.
Hasta ahora, los bancos estadounidenses sólo están obligados a notificar los ciberataques importantes si han afectado o pueden afectar a sus operaciones, a la capacidad de ofrecer productos y servicios bancarios o a la estabilidad del sector financiero.
Los proveedores de servicios bancarios también tendrán que notificar a los clientes “lo antes posible” si un ciberataque ha afectado materialmente o puede afectar a los clientes durante cuatro o más horas.
Entre los ejemplos de incidentes que deben notificarse en virtud de la nueva norma figuran los ataques de denegación de servicio distribuidos a gran escala que interrumpen el acceso de las cuentas de los clientes a los servicios bancarios o los incidentes de hackeo informático que paralizan las operaciones bancarias durante largos periodos de tiempo.
“Los incidentes de seguridad informática pueden ser el resultado de programas maliciosos o destructivos (ciberataques), así como de fallos no maliciosos del hardware y el software, errores del personal y otras causas. Los ciberataques dirigidos al sector de los servicios financieros han aumentado en frecuencia y gravedad en los últimos años. Estos ciberataques pueden afectar negativamente a las redes, los datos y los sistemas de las organizaciones bancarias y, en última instancia, a su capacidad para reanudar las operaciones normales”, explica la norma final de notificación de incidentes de seguridad informática.
La regla final emitida por la Corporación Federal de Seguros de Depósitos (FDIC), la Junta de Gobernadores del Sistema de la Reserva Federal (Junta) y la Oficina del Contralor de la Moneda (OCC) entrará en vigor el 1 de abril de 2022, y su pleno cumplimiento se extenderá hasta el 1 de mayo de 2022.
“La FDIC proporcionará a las instituciones supervisadas la logística para la notificación de la FDIC a principios de 2022”, dijo el jueves la Corporación Federal de Seguros de Depósitos (FDIC).
La nueva norma de notificación de ciberataques está diseñada para aumentar la conciencia de los supervisores bancarios sobre las amenazas emergentes para las organizaciones bancarias y el sistema financiero estadounidense en general.