Outra medida prevista na resolução é a implementação, pelas instituições financeiras, de um “plano de ação” que possa prevenir crimes cibernéticos e também atuar para combatê-los.

Segundo o diretor do BC, Otávio Damaso, controles específicos sobre este tipo de segurança passarão a ser exigidos, entre eles a organização de um plano de política cibernética, o tratamento de incidentes e uma definição de como a instituição deve se comportar diante desses eventuais incidentes. A instituição também deve definir um diretor responsável por isso.

No que diz respeito à contratação de terceirizadas para operar estes serviços de segurança, as instituições devem informar ao Banco Central com antecedência mínima de 60 dias a empresa e os serviços que serão contratados.

Em caso de contratação de empresas no exterior, as instituições podem contratar serviços em países que tenham firmado o MoU (Memorando de Entendimento entre Bancos Centrais). Caso não haja este acordo, o BC deve decidir se autoriza ou não a contratação.

Além disso, a legislação do país onde será feita a contratação não pode restringir o acesso a esses dados à instituição financeira e ao Banco Central. Por fim, a instituição financeira deve identificar ao BC o país, a região e sistemas que armazenarão essas dados.

As instituições terão 180 dias para apresentar o cronograma, que deve ser cumprido até 2021.