Swiss FINMA publica orientação sobre riscos cibernéticos

Todas as empresas supervisionadas devem reportar ataques cibernéticos. As empresas têm um prazo de 24 horas a partir da descoberta do ataque para enviar um relatório inicial à Anatel. Durante essas 24 horas, as empresas supervisionadas precisam fazer uma avaliação preliminar da gravidade do ataque cibernético para determinar se ele atende ao critério de materialidade exigido para reporte à Anatel.

As empresas que também estão sujeitas à obrigação de reporte sob a Lei de Proteção de Dados Pessoais (LGPD) podem enviar suas notificações 24 horas por dia através do formulário de reporte do Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) e selecionar a opção de encaminhar o relatório para a Anatel, desde que isso seja feito dentro do prazo.

Se o prestador de serviços de uma instituição (por exemplo, um hospital, gestor de ativos, escritório de advocacia) não for um parceiro de terceirização material na acepção da Circular 18/3 da FINMA “Terceirização”, a instituição deve garantir que seja informada pelo prestador de serviços sobre incidentes cibernéticos o provedor sofre. Se a instituição classificar um incidente cibernético que lhe foi comunicado como relevante na aceção da Orientação FINMA 05/2020, deverá também apresentar os relatórios exigidos à FINMA nesses casos.

Os ataques cibernéticos com nível de gravidade “grave” devem ser comunicados à FINMA no prazo de 24 horas, mesmo fora dos dias úteis dos bancos.

A obrigação de reporte para funções subcontratadas é a seguinte: de acordo com a margem nº. 23 Circ. FINMA. 18/3, as instituições supervisionadas têm a mesma responsabilidade perante a FINMA como se elas próprias estivessem desempenhando a função terceirizada. Isto significa, por sua vez, que o período de reporte começa assim que a instituição, ou o fornecedor terceiro de funções subcontratadas, identifica um incidente cibernético. Isto também garante que as instituições que não externalizaram quaisquer funções recebam tratamento de supervisão igual.

Para relatórios sobre ataques cibernéticos com gravidade “média”, é necessária uma análise conclusiva da causa raiz, compreendendo, no mínimo, a investigação interna ou externa e o relatório forense. Para relatórios sobre ataques cibernéticos com grau de gravidade “alto” ou “severo”, a análise da causa raiz deve compreender o seguinte:

• Motivo do sucesso do ataque cibernético;

• Impacto do ataque no cumprimento dos requisitos de supervisão, nas operações da instituição e nos clientes;

• Medidas de mitigação tomadas para lidar com as consequências do ataque.