美国当地时间11月18日，美国联邦银行监管机构通过一项新规则，银行需在36小时内，将重大网络攻击事件报告给主要联邦监管机构。

该准则由联邦存款保险公司(FDIC)、联邦储备系统理事会(Board)和货币监理署(OCC)联合发布，将于2022年4月1日正式生效，2022年5月1日前，相关机构需完成法规监管的准备工作。

新准则规定，不是所有的网络攻击事件都需要报告，只有在重大网络攻击影响到银行系统的正常运营，或者影响美国金融业的稳定时才需要报告。比如，银行客户在访问银行业务系统时遭遇大规模的DDoS攻击，带来的持续性破坏影响达4小时以上，银行就需要尽快通知客户，及时采取应急响应措施，避免遭遇不必要的损失。

“近年来，针对金融服务行业的网络攻击频率及破坏程度都在逐渐增加。这些网络攻击会对银行组织的数据及系统产生不利影响，最终导致银行机构无法正常运营。”FDIC在一份声明中表示：“为了完善报告工作，FDIC将在2022年初梳理受监管范围内实体组织。”

新准则旨在提高银行监管人员对网络安全威胁的认知，在网络安全威胁事件到来之前能做到及时响应，防范于未然。

“新准则在报告流程及时效上作出了明确的规定，这为银行机构的报告工作省去了不必要的麻烦。”FDIC主席Jelena McWilliams说。

本月，美国新通过的《勒索软件和金融稳定法案》，旨在为金融机构制定勒索软件防御和响应指南。法案要求，当遭受勒索软件攻击时，金融机构应及时通知财政部金融犯罪执法网络（FinCEN），主动提供攻击事件及相关赎金的细节。

参考来源：https://www.bleepingcomputer.com/news/security/us-regulators-order-banks-to-report-cyberattacks-within-36-hours/