Die US-Bankenaufsicht hat hart durchgegriffen und die sogenannte „Final Rule“ veröffentlicht: Demnächst müssen US-Banken und ihre Dienstleister Security Incidents innerhalb von 36 Stunden melden.
Zusätzlich sind „asap“ auch betroffene Kunden zu informieren, wenn es plausibel erscheint, dass ein Ausfall oder eine Störung durch einen Cyber-Vorfall mehr als vier Stunden dauern könnte. Die Regelung tritt am 1.5.2022 in Kraft.
https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf