Exigences du BSIF en matière de directives et de déclarations sur la cybersécuritéLe 13 août 2021, le BSIF, le Bureau fédéral du surintendant des institutions financières, a publié de nouvelles consignes sur Les nouvelles lignes directrices intensifient et clarifient les exigences en matière de déclaration par les institutions financières fédérales (IFF) en cas d’incidents liés à la technologie ou à la cybersécurité qui ont une incidence sur leurs activités. Les institutions financières sous réglementation fédérale comprennent, par exemple, les banques, les sociétés de fiducie et de prêt constituées en société ou agréées par le gouvernement fédéral, les sociétés d’assurance et les régimes de retraite assujettis à la surveillance fédérale. Autrement, il ne comprend pas de consignes sur les attentes du BSIF en matière de gestion des interventions en cas d’incident. Simultanément, le BSIF a publié une note d’autoévaluation à l’intention des IFF qui traite de la préparation, mettant à jour les consignes antérieures de 2013. Aux fins de la ligne directrice, l’expression « incident technologique ou de cybersécurité » est définie comme un incident qui a une incidence ou qui pourrait avoir une incidence sur les activités d’une IFF, y compris sa confidentialité, son intégrité ou la disponibilité de ses systèmes et de ses renseignements. « Un incident à signaler peut présenter une ou plusieurs des caractéristiques suivantes :
Une liste d’exemples à signaler est également fournie dans les lignes directrices. L’avis initial doit être fait par écrit (par voie électronique à la Division du risque technologique du BSIF ainsi qu’au superviseur principal de l’IFF au BSIF dans les 24 heures, ou plus tôt si possible)). Le BSIF fournit des modèles de formulaires d’avis et de déclaration des faits ainsi que les consignes. Le BSIF s’attend à ce que l’IFF touchée demeure régulièrement à jour jusqu’à ce que tous les détails sur l’incident aient été fournis, y compris les rapports sur les mesures correctives et les plans, les analyses après l’incident et les leçons apprises. Le défaut de faire rapport entièrement ou en temps opportun peut entraîner une surveillance accrue, y compris, mais sans s’y limiter, des activités de surveillance améliorées, la liste de surveillance ou l’organisation de l’IFF. Bien que les normes du BSIF exigent la conformité des institutions financières fédérales, elles fournissent également un indicateur des normes de sécurité raisonnables d’autres secteurs. Dans un certain sens, le relèvement de la barre en ce qui concerne la cybersécurité dans divers contextes réglementaires industriels tend également à relever la barre pour les industries non réglementées et adjacentes en ce sens que les attentes de ce qui est une réponse raisonnable à un incident de sécurité des données peuvent être élevées. Le document d’orientation est obligatoire pour les IFF, mais peut aussi être instructif pour d’autres industries. Un membre du groupe de cybersécurité Bennett Jones Cybersecurity group ou l’un des auteurs se ferai un plaisir de vous aider avec toute question ou préoccupation. Auteur(e)s
Traduction alimentée par l’IA. Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques. Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com. |