Las Contrapartes Centrales (CCP) son proveedores de servicios de terceros (TPSP) que parecen cumplir con la definición de TPSP bajo los requisitos de ciberseguridad de Nueva York. Sin embargo, sus normas internas no exigen actualmente la notificación de infracciones.
Las normas de la CFTC exigen ambiguamente la notificación a la CFTC, pero no a los miembros de las ECC). Las ECCs prestan servicios a las instituciones financieras, que les proporcionan acceso a información no pública (NPI). Las ECC no son filiales de las instituciones financieras.
La normativa de la CFTC exige que las salvaguardias del sistema incluyan: evaluación y supervisión del riesgo, para minimizar el riesgo operativo, y un sólido plan de recuperación de desastres y continuidad de la actividad.
Las normas de las ECC estipulan que, cuando los miembros se adhieren a la ECC, se comprometen a cumplir sus normas y no pueden negociar condiciones especiales. Las normas de las principales ECC de EE.UU. no obligan a revelar oportunamente las violaciones de la ciberseguridad a los miembros. No está claro si las entidades cubiertas que son miembros de la ECC pueden cumplir con la notificación de eventos de ciberseguridad en 72 horas.
Las ECC deben modificar sus normas para ofrecer garantías y procesos explícitos para que los miembros puedan cumplir sus propios requisitos de notificación.
