.jpg)
Управление по финансовому регулированию и надзору Великобритании (FCA) выпустило новые правила, призванные обеспечить компаниям большую ясность в отношении того, о каких киберинцидентах следует сообщать и когда.
Регулятор среагировал на отзывы представителей отрасли, жалующихся на отсутствие чёткого представления о том, какую информацию следует предоставлять в таких случаях. «Устойчивость подвергается испытанию как никогда прежде, поскольку компании сталкиваются с растущими киберугрозами и всё большей зависимостью от третьих сторон в предоставлении основных финансовых услуг, на которые полагаются потребители», — отметил директор FCA по работе со специалистами и оптовым продавцам Марк Фрэнсис.
Ведомство заявило о следующих новациях:
- Cоздана упрощённая система отчётности совместно с Управлением пруденциального регулирования (PRA) и Банком Англии, включающая единый портал отчётности.
- Устранено дублирование отчётности об инцидентах для поставщиков платёжных услуг и рейтинговых агентств.
- Уточнена общая требуемая информация, позволяя большинству регулируемых компаний просто заполнить короткую форму.
- Добавлены более чёткие указания по пороговым значениям, определениям и обязанностям.
Ссылаясь на недавние сбои в работе AWS и Cloudflare, затронувшие отрасль, регулятор сообщил, что 40% полученных сообщений об инцидентах касалось третьих сторон. Эта тенденция нашла отражение в растущем внимании к управлению такими рисками в Законе ЕС о цифровой операционной устойчивости (DORA) и в законопроекте Великобритании о кибербезопасности и устойчивости, который в настоящее время рассматривается в парламенте.
У компаний теперь есть 12 месяцев на подготовку к новому режиму, вступающему в силу 18 марта 2027 года. В FCA пояснили, что предоставленные ему данные послужат обмену информацией, помогающему компаниям повысить операционную устойчивость.
Усам Оздемиров
