サイバー レジリエンスは引き続き金融サービス業界にとって最優先事項であり、金融当局にとっても重要な注目分野です。サイバーインシデントが金融システムと世界経済の安定に重大な脅威をもたらすことを考えると、これは驚くべきことではありません。金融システムは、実体経済をサポートする多くの重要な活動 (預金の受け取り、融資、支払い、決済サービスなど) を実行します。サイバーインシデントは、これらの活動をサポートする情報通信テクノロジーを混乱させ、そのようなテクノロジーが処理または保存するデータの悪用や悪用につながる可能性があります。継続的なデジタル化、サードパーティへの依存関係の増大、地政学的な緊張の中で、サイバー脅威の状況が進化し続け、より複雑になっているという事実により、状況はさらに複雑になっています。さらに、サイバーインシデントのコストは長年にわたり継続的かつ大幅に増加しています。
この文書は、その文書で取り上げられている管轄区域のサイバー規制を再検討し、他の管轄区域で発行されたサイバー規制を調査することにより、Crisanto and Prenio (2017) を更新しています。 2017 年の論文で取り上げた香港特別行政区、シンガポール、英国、米国のサイバー規制とは別に、この論文ではオーストラリア、ブラジル、欧州連合、イスラエル、ケニア、メキシコ、ペルー、フィリピン、ルワンダのサイバー規制を調査しています。 、サウジアラビア、南アフリカ。管轄区域は、先進国 (AE) と新興市場国および発展途上国 (EMDE) の両方のサイバー規制を反映するように選択されました。これは、2017 年以降、EMDE を含むいくつかの管轄区域がサイバー規制を導入しているという事実を浮き彫りにしています。
銀行のサイバー レジリエンスの規制には、依然として 2 つの主要なアプローチが存在します。1 つ目は既存の関連規制を活用するもので、2 つ目は包括的な規制を発行するものです。最初のアプローチは、オペレーショナルリスク、情報セキュリティなどに関する規制を出発点として、それにサイバー固有の要素を追加します。ここでは、サイバー リスクは他のリスクとみなされるため、リスク管理の一般要件に加え、情報セキュリティと運用リスクの要件も適用されます。このアプローチは、これらの関連規制がすでにしっかりと確立されている管轄区域でより一般的に見られます。 2 番目のアプローチは、ガバナンスの取り決めから運用手順に至るまで、サイバーセキュリティのあらゆる側面を 1 つの包括的な規制でカバーすることを目指しています。どちらのアプローチでも、サイバー規制の規範性が強すぎることによって生じる可能性のあるリスクに対抗するために、一部の規制では広範なサイバー復元原則と一連のベースライン要件を組み合わせています。採用される規制アプローチに関係なく、サイバー復元フレームワークの適用では比例原則が十分に考慮されます。
関連規制の一部であろうと、個別の包括的な規制であろうと、最近のサイバー セキュリティ ポリシーは進化しており、「第 2 世代」のサイバー規制と言えるでしょう。 「第 1 世代」のサイバー規制は、主に AE で発行され、サイバー リスク管理アプローチと制御の確立に焦点を当てていました。過去数年間にわたり、EMDE を含む当局は、新規または追加のサイバー規制を発行してきました。これらの第 2 世代の規制には、「違反を想定する」という考え方がより組み込まれているため、運用上の回復力の概念とより一致しています。そのため、彼らはサイバー回復力を向上させ、これを達成するための特定のツールを金融機関や当局に提供することに重点を置いています。
0 件のコメント:
コメントを投稿