Bancos têm duas horas para informar supervisor sobre ataques informáticos
Bancos têm novas regras para comunicar ao supervisor falhas de cibersegurança que comprometam os seus sistemas e dados dos clientes.
O Banco de Portugal divulgou esta segunda-feira os procedimentos de reporte que os bancos devem adotar no caso de serem alvo de um ataque informático que comprometa os seus sistemas ou dados dos clientes. Uma das regras diz respeito ao timing: as instituições financeiras têm até duas horas para reportar incidentes de cibersegurança aos supervisores.
Os bancos devem comunicar “ao Banco de Portugal, no prazo de até duas horas após a deteção do incidente, todos os incidentes de cibersegurança significativos ou severos ocorridos, ou que produzam efeitos, nas entidades incluídas no perímetro de supervisão, independentemente do local onde estas últimas prestam a sua atividade”, refere o supervisor na instrução hoje divulgada.
É considerado um incidente de cibersegurança um evento que tenha impacto adverso na segurança dos sistemas, aplicações ou redes informáticas, comprometendo a informação que estes processem, armazenem ou partilhem. Qualquer evento que viole as políticas de segurança de informação e uso dos sistemas, aplicações e redes dos bancos também tem de ser reportado como incidente de cibersegurança.
Os incidentes terão de ser classificados pelo banco de “significativo” ou “severo” em função do impacto em termos de utilizadores afetados, do impacto económico, do impacto na reputação, entre outros.
Por exemplo, se afetar mais de 50 mil clientes ou mais de 25% da base de clientes do banco ou se tiver um impacto económico superior a cinco milhões de euros em custos diretos e indiretos ou superior a 0,1% nos fundos próprios deve ser considerado um incidente de cibersegurança “significativo”. Por outro lado, deve ser classificado um incidente “severo” se representar um custo superior a 25 milhões ou tiver um impacto de 0,5% nos fundos próprios do banco.
As novas regras entram em vigor dentro de 30 dias, e estão abrangidas instituições de crédito, caixas de crédito agrícola, empresas de investimento, empresas de pagamento e instituições de moeda eletrónica e sucursais de bancos com sede no estrangeiro.
Em Portugal não são conhecidos incidentes de cibersegurança entre os bancos, mas é uma realidade lá fora. Recentemente, o banco italiano Unicredit revelou um incidente de segurança que expôs dados de três milhões de clientes.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Bancos têm duas horas para informar supervisor sobre ataques informáticos
{{ noCommentsLabel }}