银行必须开始遵守一项新规定，要求它们在36小时内向监管机构报告某些计算机安全事件, a reporting time frame that could prove challenging, especially for smaller companies.

该规定由美国联邦存款保险公司(fdic)联合发布., 货币监理署和联邦储备委员会, calls for reports to regulators via phone, email or similar methods. Although the rule took effect on April 1, 银行机构和银行bet9平台游戏提供商必须在5月1日之前遵守规定.

The 36-hour time frame is relatively short because, in most cases, 监管机构倾向于允许至少几天的报告时间, said David Murphy, manager of cybersecurity at Schneider Downs & Co. Inc. For smaller banks, 由于人员和资源较少，处理报告和管理问题本身可能是一项挑战.

"If you're a small bank, and you have a small IT team, 您将希望您的IT团队专注于处理事件, 不一定是报道所发生事情的细节," Murphy, who helps banks with security, said in an interview.

The banking regulators, along with state and other federal regulators, 是否有越来越大的压力要求尽可能多地报告网络事件, he said.

"Prior to all these rules, 基本上没有动机去报告你遇到了某种与电脑有关的事故, and that causes problems," Murphy said. “这基本上导致我们无法理解问题的范围."

在过去的18个月里，勒索软件的数量有所增加, said Julie Bernard, principal with Deloitte's cyber and strategic risk team. For bigger banks, which Deloitte works with most, 此需求是“对其标准事件响应计划的更新”. Not a huge update, 但他们必须弄清楚的是:他们需要向哪些监管机构报告? 他们已经在向其他行业组织做报告了."

银行已经被要求在最初发现可能作为报告依据的信息后不超过30天提交可疑活动报告, and those reports are not all related to cybersecurity. 新规定也适用于某些银行bet9平台游戏提供商. Under the rule, 当银行bet9平台游戏提供商确定发生了计算机安全事件时，他们需要尽快向银行机构客户报告, or is reasonably likely to cause, bet9平台游戏中断或退化达4小时或更长时间."

为了维持监管关系，金融机构可能会增加而不是减少通知, 而且这些规则通常都是针对重大事件写的, said Michael Borgia, Davis Wright Tremaine LLP信息安全小组负责人.

“我们不会试图解析出你什么时候必须通知，什么时候不通知的所有细节, within reason," Borgia said in an interview, 他描述了与他交谈过的大多数金融机构的观点. “我们将倾向于通知，因为维持这种关系对我们非常有价值, 从长远来看，试图想出一个聪明的理由来解释为什么我们不应该通知别人是没有意义的, really."

Reporting requirements for service providers

银行的合规可能包括通过更新合同或其他方式通知其bet9平台游戏提供商. 所涵盖的bet9平台游戏是受《银行bet9平台游戏公司法》约束的bet9平台游戏. Examples include sorting and posting checks and deposits, 计算和邮寄利息和其他费用和信贷，以及准备和邮寄支票.

伯纳德说，她很惊讶没有从这些第三方那里听到更多关于他们的要求以及他们将如何向银行报告的信息.

“我知道还有其他人也有同样的担忧，”伯纳德说. “因此，如果一家银行的核心银行系统依赖于一家非常大的软件公司, 现在最常见的是基于云的产品……如果那个软件有问题的话, and their branch network is out, what is the chain of notification required, even as you're trying to resolve the problem?"

因为bet9平台游戏提供商与联邦银行监管机构没有直接关系, it is a challenge to get the word out about the new rule, said John Geiringer, partner at Barack Ferrazzano Kirschbaum & Nagelberg LLP. 今年3月，他在巴拉克•费拉扎诺(Barack Ferrazzano)共同主持的网络研讨会上发表了讲话, the American Bankers Association, Fiserv Inc. 金融bet9平台游戏信息共享与分析中心. There are about 120,全国范围内的银行bet9平台游戏提供商约为5000家,000 banks, Geiringer added.

银行需要与其bet9平台游戏提供商就这一规定进行沟通.

“对于银行机构来说，更新合同并与bet9平台游戏提供商进行对话是明智的," Borgia said. "'Are you providing covered services or not?’”他补充说，更新合同并不是该规定的要求. 波吉亚根据这一规定为银行机构和bet9平台游戏提供商提供建议.

规则中的定义描述了银行和bet9平台游戏提供商必须报告的事件的不同标准.

“在某些情况下，bet9平台游戏提供商将需要通知银行机构, 但银行机构可能不需要通知监管机构," Borgia said. “因此，bet9平台游戏提供商可能需要通知更广泛的事件."