Rapports sur les incidents liés à la technologie et à la cybersécurité

Écrit par Michael Whitt Q.C.

Le Bureau du surintendant des institutions financières (BSIF) Canada a publié un avis d’application à l’intention de toutes les institutions financières fédérales (IFF) qui énonce les attentes de l’organisme de réglementation à l’égard de l'« exigence de déclaration des incidents » et renvoie à un document d’orientation antérieur de 2013 sur le Yber Security Self-Assessment.

Un incident de technologie ou de cybersécurité est défini comme un incident qui a le potentiel d’avoir, ou a été évalué pour, avoir une incidence importante sur les opérations normales d’une IFF, y compris la confidentialité, l’intégrité ou la disponibilité des systèmes et de l’information de l’IFF. Lorsqu’un tel incident se produit et qu’il a un niveau de gravité élevé ou critique, l’incident doit être signalé au BSIF dans les 72 heures suivant une détermination de bonne foi que l’incident a atteint ces seuils.

Le préavis établit un cadre pour les détails à inclure dans le rapport initial et les rapports subséquents au BSIF, ainsi que des consignes sur la façon dont les incidents devraient être caractérisés.