美國聯邦存款保險公司(Federal Deposit Insurance Corporation, FDIC)、通貨監理局(Office of the Comptroller of the Currency, OCC)及聯邦準備理事會(Board of Governors of the Federal Reserve System)公布「資通安全事件通報最終規範」(Cybersecurity Incident Final Rule)，要求自明年4月起，銀行須於獲知發生資通安全事件36小時內通報主管機關。此外，若發生可能導致重大服務中斷4小時以上之資通安全事件，須及早通知每位受影響之客戶。

 

資通安全事件成因包括勒索軟體等惡意程式、阻斷服務攻擊等網路攻擊行動，或人為操作失誤所造成之事件，進而影響銀行網路與系統，最終危及正常營運。透過及早通報主管機關資通安全事件與服務中斷影響客戶4小時以上之事件，有助於主管機關評估威脅、協調支援及提供整個銀行產業相關資訊與指引。

 

該規範制定前，美國對於銀行發生重大資通安全事件通報時限並無具體要求，透過規範之要求，可協助主管機關全面掌握整體金融體系面臨之威脅。此規範將於2022年4月1日生效，銀行完全符合法遵期限則可延至5月1日。

資料來源：

https://www.reuters.com/business/finance/banks-ordered-promptly-flag-cybersecurity-incidents-under-new-rule-2021-11-18/

https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf

Banks must report major cyber incidents within 36 hours under finalized regulation