Федеральная корпорация по страхованию вкладов (FDIC), Совет управляющих Федеральной резервной системы и Управление контролёра денежного обращения (OCC) США объявили окончательную версию требований касательно уведомлений о связанных с кибербезопасностью инцидентах для банковских организаций. В соответствие с ними американские банки будут обязаны уведомлять федеральные регулирующие органы о киберинцидентах в течение 36 часов с момента их обнаружения.

Согласно имеющимся данным, новые правила вступят в силу 1 апреля 2022 года, но исполняться начнут не ранее 1 мая. Таким образом, поднадзорные FDIC финансовые организации будут обязаны уведомлять назначенное агентством контактное лицо по электронной почте, телефону или иным способом «как можно быстрее, но не позднее, чем через 36 часов» после того, как организация столкнулась с инцидентом в сфере кибербезопасности. Поставщики банковских услуг также будут обязаны уведомлять финансовые организации в случаях, если предоставление услуг прерывается более чем на четыре часа.

В новых правилах сказано, что «инцидентом безопасности» является любое событие, наносящее ущерб конфиденциальности, целостности или доступности информационных систем. В это же время «инциденты с уведомлением» представляют собой события, которые приводят к серьёзным сбоям в работе и не позволяют банкам функционировать в штатном режиме. В качестве примеров указаны сбои в работе компьютерных систем, а также атаки типа «отказ в обслуживании» (DoS) и атаки с использованием вымогательского программного обеспечения. Новые правила обязывают финансовые организации уведомлять регуляторов об инцидентах, но полная оценка и анализ ситуации будут занимать больше времени.