英国金融行為規制局(FCA)は、企業がどのサイバー関連インシデントをいつ報告すべきかについてより確実性を与え、サイバーおよびビジネスの継続性を強化するために設計された新しいルールを発表しました。
金融サービス規制当局は、このアップデートは、組織が何を報告すべきか、何の情報を提供すべきかが不明確であるという業界からのフィードバックの後に行われたと述べました。
「継続性はこれまでにないほどテストされており、企業は成長するサイバー脅威と、消費者が依存する必須の金融サービスを提供する第三者への依存の増加に直面しています」とFCAの専門家および卸売売却サイド部長であるマーク・フランシスは述べました。
「これらの変更は、企業に対してより明確なルールと実用的なガイダンスを提供して障害をより適切に管理しながら、より賢い規制当局になるという野心をサポートし、リスクを発見し、洞察を共有し、セクター全体の継続性を強化するためのより良いデータを提供します。」
FCAに関する詳細を読む:英国の大規模金融企業からのサイバー攻撃レポートの大幅な減少。
新しいルールは、内部的なサイバー関連インシデント、およびサプライヤー/サービスプロバイダーによって引き起こされるインシデントおよび障害の両方をカバーしています。
FCAは以下のことを行ったと述べました:
- 審慎規制当局(PRA)およびイングランド銀行との間で、単一の報告ポータルを特徴とした合理化された報告体制を作成
- 決済サービスプロバイダーおよび信用格付け機関の重複したインシデント報告を削除
- 必要な全体的な情報を改善し、ほとんどの規制対象企業が単に短いフォームを記入することを可能にした
- しきい値、定義、および責任に関するより明確なガイダンスを追加
第三者リスクが最前線に
FCAは、金融サービス企業がますます第三者に依存している時期に、新しい報告体制が重要であると述べました。
業界に影響を与えたAWSおよびCloudflareでの最近の障害を引用して、2025年にFCAに報告されたインシデントの40%が第三者を含むと述べました。
このトレンドは、EUのデジタル運用継続性法(DORA)およびUKの現在議会を通じて進行中のサイバーセキュリティおよび継続性法における第三者リスク管理への焦点の増加に反映されています。
企業は2027年3月18日に発効する新しい報告体制に備えるために12か月の時間があります。
FCAは、報告されたデータを使用して、企業が運用上の継続性を改善するのに役立つ洞察を共有し、また大規模な障害中に業界を最新の状態に保つと述べました。
翻訳元: https://www.infosecurity-magazine.com/news/fca-updates-incident-thirdparty/
