Verenigde Staten krijgen wettelijke standaards voor cybersecurity van (top van) financiële sector

De drie instanties hebben vorige week een voorstel ingediend voor minimale standaarden, waaraan niet alleen de grote systeembanken en –verzekeraars, maar ook de met hen zo sterk ‘connected’ kleinere banken, credit-cardbedrijven en clearinghouses zouden moeten voldoen, qua beveiliging tegen aanvallen via het internet en andere netwerken.

Stakeholders is gevraagd tot januari 2017 feedback te geven op de voorgestelde reglementen, waarna de toezichthouders een tweede versie zullen voorleggen, alvorens uiteindelijk met een definitieve wettelijke regeling te komen.

De standaarden zouden zoals het er nu uitziet gelden voor instellingen met tenminste $50 miljard aan assets, dus niet alleen voor die banken welker ondergang de hele economie zou schaden.

De toezichthouders zeggen dat zij nog overwegen de standaarden ook te doen gelden voor andere partijen die ook “systemically important” geacht worden voor de financiële markten, zoals verzekeraars als American International Group en Prudential Financial, plus een aantal grote clearinghouses als de Chicago Mercantile Exchange  en de Options Clearing Corporation.

Vanzelfsprekend zullen de standaards ook gaan gelden voor leveranciers, die aan de betrokken ondernemingen en organisaties systemen en diensten leveren.- zoals accountants.

Minimaal zullen alle betreffende organisaties een heldere cybersecurity-strategie moeten opstellen en laten goedkeuren door des board of directors. Senior management zal verantwoordelijk zijn voor de effectieve implementatie van dat beleid. Ook zal elke organisatie ervoor moeten zorgen, dat zij na een aanval binnen twee uur weer veilig operationeel is, om de gevolgen en verdere verspreiding van de disruptie naar andere instellingen zo veel mogelijk te beperken.