Ces propositions introduisent l’obligation de signaler immédiatement les incidents à caractère numérique à l’OCRCVM et de fournir un rapport plus complet sur l’incident dans les 30 jours.
Ils énumèrent également les informations que les courtiers doivent fournir dans ces rapports.
L’OCRCVM propose ces nouvelles exigences en raison de la fréquence et de la sophistication croissantes des cyberattaques, indique l’organisme de réglementation, et du fait que le partage de l’information est essentiel pour atténuer les cybermenaces.
«Nous prévoyons que les courtiers tireront profit du signalement rapide des incidents de cybersécurité», indique l’avis.
«Lorsque l’OCRCVM reçoit un avis d’incident, il peut fournir rapidement un soutien aux courtiers touchés et, s’il y a lieu, informer les autres courtiers des cybermenaces de l’heure, contribuant ainsi à en gérer les répercussions sur eux et les investisseurs», ajoute-t-on.
Les commentaires sur le projet de modification doivent être faits par
écrit et transmis au plus tard le 22 mai 2018. Entretemps, l’OCRCVM demande aux courtiers de continuer à lui signaler volontairement tous les incidents de cybersécurité dans le cadre de leur gestion des cyberrisques.