Amerikaanse banken verzetten zich tegen meldplicht cyber incidenten

De afgelopen jaren zijn tientallen Amerikaanse banken gehackt, het slachtoffer geworden van fraude of offline gegaan door malware. Het aantal incidenten is te groot en Washington wil daarom de sector de duimschroeven aandraaien. Dat moet gebeuren door het invoeren van een meldplicht cyber incidenten, speciaal voor de banksector. Daar verzet de sector zich tegen.

Voorstel voor meldplicht banksector

Het federale voorstel moet de vorm krijgen van een regulering. Daarmee worden bestaande regels van de staten overruled, tegelijk voorkomt Washington een conflict met andere federale regels.

Washington heeft haast met deze set van regels. Het plan is 12 januari ter consultatie online gezet. Vorige week is die periode afgelopen en dan volgt nu het verdere wetgevingstraject. In de tussentijd zijn er nog meer banken met succes aangevallen en de vervolgschade van de SolarWinds hack plus de lekke Exchange servers komt daar nog eens bovenop.

Inhoud meldplicht

De nieuwe meldplicht geld voor zowel de banken als de directe toeleveranciers, die zijn omschreven als “bank service providers”. De banken zelf moet “prompt” alle meldingen aangaande “computer security incident [s] that materially disrupts, degrades or impairs certain important business operations” doorgegeven aan de federale toezichthouder. De toezichthouders per staat worden daarmee gepasseerd, alles komt direct in Washington aan.

De service providers moeten op hun beurt incident als boven omschreven aan de banken doorgeven. Tussen het constateren en de melding in Washington mag niet meer dan 36 uur zitten. Dat is dus de helft van wat onder de AVG geldt voor de eerste melding.

ABA is tegen

Volgens de American Bankers Association gaat het plan in de huidige vorm niet werken. De 36 uur zijn onhaalbaar, omdat de definitie te breed is, zegt AMA, mede namens die andere brancheorganisaties. Daarmee doet het voorkomen alsof de regelgeving an sich terecht is, maar enkele details voor verbetering vatbaar zijn.

Wie de reactie van 23 pagina’s doorneemt ziet vooral dat de sector af wil van de naderende verplichting elk incident te melden. Alleen incidenten die “harm” (schade) hebben veroorzaakt, of dat naar inschatting van de bank op termijn kunnen veroorzaken zouden meldingsplichtig moeten zijn.

Dit argument is vanuit de banken beredeneerd begrijpelijk, maar is deels onjuist. De definitie die men wil hanteren voor deze meldplicht zou namelijk cyber incidenten die niet geheel te doorgronden zijn onvermeld laten.