Im Rahmen der neuenNetzwerksicherheitNach der Incident Notification Rule müssen US-Banken die Bundesaufsichtsbehörden innerhalb von 36 Stunden nach Entdeckung eines Vorfalls im Bereich der Cybersicherheit informieren. Die Vorschrift tritt am 1. April 2022 in Kraft, wird aber erst ab dem 1. Mai durchsetzbar sein.
Die Federal Deposit Insurance Corporation (FDIC), der Board of Governors des Federal Reserve System und das Office of the Comptroller of the Currency (OCC) haben am 18. November die endgültige Fassung der Anforderungen an die Meldung von Computersicherheitsvorfällen für Bankinstitute und deren Anbieter von Bankdienstleistungen veröffentlicht.
Von der FDIC beaufsichtigte Finanzinstitute müssen die von der FDIC benannte Kontaktperson "so schnell wie möglich und spätestens innerhalb von 36 Stunden" per E-Mail, Telefon oder auf ähnliche Weise benachrichtigen, nachdem das Unternehmen festgestellt hat, dass der Sicherheitsvorfall "den Grad eines meldepflichtigen Ereignisses erreicht hat". Die Anbieter von Bankdienstleistungen sind ebenfalls verpflichtet, der Bank Vorfälle zu melden, wenn die Bankdienstleistungen länger als vier Stunden unterbrochen sind.
Gemäß der Vorschrift bezeichnet der Begriff "Sicherheitsvorfall" jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit eines Informationssystems tatsächlich beeinträchtigt.
Andererseits ist ein "gemeldetes Ereignis" ein Ereignis, das zu einer schwerwiegenden Störung des Betriebs führt, eine Bank daran hindert, ihre Produkte und Dienstleistungen anzubieten, oder ein Risiko für die Stabilität des Finanzsektors darstellt. Beispiele hierfür sind Computerausfälle, verteilte Denial-of-Service- und Ransomware-Angriffe.
In den bestehenden Leitlinien werden die Banken angewiesen, ihre Hauptregulierungsbehörde über einen unbefugten Zugriff auf sensible Kundendaten "so schnell wie möglich" zu informieren. Diese neue Vorschrift formalisiert die Bedeutung von "so schnell wie möglich". Außerdem werden die Leitlinien auf Vorfälle ausgeweitet, bei denen keine Kundendaten offengelegt wurden.
Die Vorschrift verlangt von den Finanzunternehmen nur, dass sie die Aufsichtsbehörde darüber informieren, dass in der Zwischenzeit etwas passiert ist. Eine vollständige Bewertung oder Analyse ist als Teil der Meldung an die Aufsichtsbehörde nicht erforderlich und kann nach 36 Stunden erfolgen. Dies ist eine wichtige Unterscheidung, da viele Organisationen möglicherweise nicht so schnell ein vollständiges Bild von den Ereignissen haben.
Die Banken sind nach wie vor verpflichtet, innerhalb von 60 Tagen nach der Entdeckung eine Verdachtsmeldung (Suspicious Activity Report - SAR) abzugeben.
Die Regelung wurde ursprünglich im Dezember 2020 von der FDIC und dem OCC vorgeschlagen.
Originalartikel von CNCSO, bei Vervielfältigung bitte die Quelle angeben: https://cncso.com/de/bank-of-america-meldet-cyber-angriffe-html
