Kelompok perbankan menolak keras usulan aturan pelaporan insiden dunia maya

Pada hari Jumat, empat kelompok perdagangan perbankan menerbitkan surat bersama mengeluh bahwa peraturan yang diusulkan, yang dimaksudkan untuk diterapkan undang-undang tahun 2022 yang mengatur persyaratan pelaporan insiden keamanan siber bank, akan menciptakan “kewajiban yang terlalu memberatkan” bagi bank saat mereka menanggapi insiden siber.

Kelompok perdagangan yang menandatangani surat tersebut termasuk Bank Policy Institute, yang telah bersandaran Pelaporan Insiden Siber untuk Infrastruktur Kritis tahun 2022 (CIRCIA) bipartisan dengan harapan dapat membantu menyelaraskan banyak peraturan federal yang dihadapi bank setelah serangan keamanan siber.

Kini, kelompok dagang perbankan mengatakan aturan yang diusulkan, jika diterapkan sebagaimana tertulis, akan “menyebabkan banjir laporan tentang insiden berisiko rendah yang akan memberikan nilai terbatas bagi pemerintah tetapi akan menjadi biaya besar” bagi bank yang melaporkannya. Sebagian besar surat setebal 26 halaman itu ditujukan untuk saran penyuntingan aturan yang menurut kelompok tersebut akan membantu pemerintah memenuhi tujuan legislatif undang-undang tahun 2022.

Bergabung dengan Bank Policy Institute sebagai penandatangan surat tersebut adalah American Bankers Association (Asosiasi Bankir Amerika), yang anggotanya terdiri dari bank-bank kecil, regional, dan besar yang bersama-sama memiliki simpanan sebesar $19 triliun dan memberikan pinjaman sebesar $12,4 triliun; Institute of International Bankers, yang mewakili lembaga keuangan yang berkantor pusat secara internasional; dan Asosiasi Industri Sekuritas dan Pasar Keuangan, yang merupakan asosiasi perdagangan besar untuk bank investasi, pialang-dealer, dan lembaga serupa.

Kelompok tersebut mengirimkan surat tersebut kepada Jen Easterly, direktur Badan Keamanan Siber dan Keamanan Infrastruktur (CISA). Undang-undang pelaporan keamanan siber tahun 2022 menugaskan badan tersebut untuk menerapkan aturan yang mengharuskan perusahaan dan lembaga di seluruh dunia untuk melaporkan pelanggaran keamanan siber mereka. 16 sektor (termasuk keuangan) yang ditetapkan oleh pemerintah sebagai infrastruktur penting untuk melaporkan “insiden dunia maya yang substansial” kepada lembaga tertentu.

Meskipun undang-undang tersebut pada akhirnya akan mewajibkan bank dan credit unions untuk melaporkan “insiden dunia maya yang signifikan” kepada Departemen Keuangan, undang-undang tersebut tidak mendefinisikan istilah tersebut. Sebaliknya, lembaga tersebut menyerahkan sepenuhnya kepada CISA untuk menentukan apa yang termasuk dan apa yang tidak penting mengusulkan aturan pada tanggal 4 April, hal tersebut dapat dilakukan – dan menjawab banyak pertanyaan terbuka lainnya yang harus dijawab oleh undang-undang tersebut.

Dalam usulan aturannya, CISA mendefinisikan “insiden siber substansial” yang mencakup empat jenis insiden. Pada tipe pertama, terdapat hilangnya kerahasiaan, integritas, atau ketersediaan sistem informasi secara substansial. Kedua, terdapat dampak serius terhadap keamanan dan ketahanan sistem. Yang ketiga, terdapat gangguan terhadap kemampuan perusahaan dalam menjalankan bisnisnya. Keempat, adanya akses tidak sah melalui pihak ketiga atau penyusupan rantai pasokan.

Salah satu dari keempat jenis insiden keamanan siber kemungkinan besar terjadi karena serangan siber, tetapi definisinya ditulis cukup luas sehingga kecelakaan serius juga tercakup.

Menurut keempat kelompok perbankan tersebut, usulan tersebut “melampaui kewenangan yang diberikan kepadanya berdasarkan undang-undang dan menyimpang secara substansial dari apa yang dimaksudkan Kongres ketika memberlakukan” undang-undang pelaporan insiden keamanan siber tahun 2022.

Mengutip siaran pers dari komite-komite di Senat Dan Dewan Perwakilan Rakyat yang memperkenalkan rancangan undang-undang tersebut ke masing-masing kamar, kelompok perdagangan mengatakan dalam surat mereka bahwa undang-undang tersebut dirancang untuk mencapai “keseimbangan antara mendapatkan informasi dengan cepat dan membiarkan korban merespons serangan tanpa menerapkan persyaratan yang memberatkan,” dan bahwa Kongres ingin undang-undang tersebut diterapkan. “dengan cara yang memperhitungkan kebutuhan praktis industri.”

“Aturan yang diusulkan tidak memenuhi pertimbangan penting ini,” tulis kelompok perdagangan tersebut.

CISA tidak segera menanggapi permintaan komentar.

Salah satu dari banyak usulan perubahan yang diajukan oleh kelompok perbankan dalam surat setebal 26 halaman kepada CISA adalah mempersempit keempat jenis insiden yang disebutkan di atas menjadi hanya menyangkut insiden yang mempengaruhi produk dan layanan yang ditawarkan oleh perusahaan.

Secara khusus, jenis insiden ketiga — insiden yang mengganggu kemampuan perusahaan untuk menjalankan bisnis — mencakup “gangguan operasional yang sangat kecil pada layanan yang tidak penting,” menurut surat dari kelompok tersebut. Kelompok tersebut mengusulkan untuk mengubah definisi tersebut untuk menetapkan bahwa hanya gangguan “yang substansial” pada “sebagian penting” dari operasi bisnis “yang diperlukan untuk penyediaan produk atau layanan” yang akan dihitung.

Kepatuhan terhadap undang-undang pelaporan insiden keamanan siber tahun 2022 mengharuskan CISA untuk merilis aturan final sekitar bulan Oktober 2025, dan aturan tersebut kemudian akan diterapkan pada tahun 2026, berdasarkan laporan awal tahun ini dari Congressional Research Service, sebuah lembaga penelitian kebijakan nonpartisan milik Kongres. Periode komentar publik mengenai aturan yang diusulkan ditutup pada tanggal 3 Juli.