바로가기 및 건너띄기 링크
본문 바로가기
주메뉴 바로가기

자료실

금융규제

Home 자료실 금융규제

국기제3자 약정 통지 및 운영 사고 보고에 관한 규칙 2026 (Notification of Third Party Arrangements and Operational Incident Reporting Instrument 2026)
주요사업 테이블 설명 - 국가, 법령명, 종류, 주관기관, 제정일, 개정일, 상세내용, URL로 구분
국가 영국
제목 제3자 약정 통지 및 운영 사고 보고에 관한 규칙 2026 (Notification of Third Party Arrangements and Operational Incident Reporting Instrument 2026)
종류 규칙
기관 영국 금융감독청(FCA), 건전성감독청(PRA), 영란은행(Bank of England)
제정일 2026년 3월 18일 개정일 -
개정 내용

⦁ FCA·PRA·영란은행 3개 규제기관은 금융회사의 운영 사고 보고 및 중요 제3자 약정 공시에 관한 새로운 단일 규칙 체계를 공동 수립하여 FCA 핸드북에 신규 섹션(SUP 15.18, SUP 15.19, SUP 16.33)으로 삽입함

⦁ 기존에 FCA·PRA 각각 별도로 운영되던 보고 체계를 단일 포털(FCA Connect)·단일 양식으로 통합하고, PSP(지급결제서비스사업자)·CRA(신용평가기관)에 대한 기존 별도 보고 의무도 신규 체계로 흡수함

⦁ 규제 대상 회사를 일반 금융회사(표준 보고)와 시스템상 중요 금융회사(강화 보고)로 이원화하여, 회사 중요도에 따른 비례적·차등적 보고 체계를 도입함

⦁ 중요 제3자 약정에 대해서는 통지 의무(신규 약정 체결 또는 중요 변경 시) 및 연간 등록부 제출 의무를 신설하여 FCA가 산업 전반의 제3자 집중 리스크를 체계적으로 파악·감독할 수 있는 기반을 마련함

⦁ 시행일은 2027년 3월 18일이며, 금융회사들의 준비를 위해 공표일로부터 12개월의 유예기간을 부여함
상세 내용

□ 제정 배경

⦁ 금융권을 대상으로 한 사이버 공격이 더욱 빈번해지고 정교해지고 있으며, 제3자를 통한 공격도 증가하는 추세(2025년 기준 FCA 보고 사이버 사고의 40% 이상 제3자 관련 사고)임.

⦁ 금융회사들이 효율성 제고와 기술혁신을 위해 외부 서비스 제공자에 대한 의존도를 높이면서 산업 전반의 상호연계성이 심화되고, 개별 사고의 파급 효과가 더욱 커지고 있음.

⦁  FCA는 사고 발생 시 신속한 상황 파악 및 적절한 대응을 위해 정확하고 구조화된 데이터가 필요하다고 판단하였으며, 기존 FCA·PRA 간 보고 체계의 불일치로 인한 이중 보고 부담을 해소할 필요성도 제기됨


□ 운영 사고 보고 체계 변경사항

⦁ (단일 체계 구축) FCA·PRA·영란은행은 단일 운영 사고 정의, 단일 보고 포털(FCA Connect), 동일한 보고 일정을 공유하는 통합 체계를 구축하였으며, 이중 규제 대상 금융회사는 하나의 보고만 제출하면 양 기관에 자동 공유되어 중복 보고 부담이 해소됨

⦁ (보고 대상 이원화) 전체의 약 90%에 해당하는 일반 금융회사 대상 표준 보고(Standard Reporting) - 10개 필수 항목의 단일 단순 양식 1회 제출, 시스템상 중요 금융회사 대상 강화 보고(Enhanced Reporting) — 초기·중간·최종 3단계 단일 양식 업데이트 방식 적용

⦁ (보고 요건 간소화) 강화 보고 양식의 총 질문 수를 협의안 대비 약 20% 감축하였으며, 보고 기한은 초기 보고의 경우 사고 인지 후 24시간 이내(PSP는 기존 보고 기한 별도 적용), 최종 보고는 사고 해결 후 30 영업일 이내(복잡한 사고의 경우 최대 60 영업일)로 설정함

⦁ (운영 사고 정의) FCA·PRA 공동 단일 정의를 채택하였으며, 운영 사고란 회사 외부 최종 이용자에 대한 서비스 제공을 중단시키거나 해당 이용자 관련 정보·데이터의 가용성·진위·무결성·기밀성에 영향을 미치는 단일 또는 연속적 복수 사건을 의미하며, 아차사고(near-miss) 및 계획된 시스템 업데이트는 보고 대상에서 제외됨


□ 중요 제3자 약정 보고 체계 신설

⦁ (통지 의무 신설 — SUP 15.19) 강화 보고 대상에 해당하는 시스템상 중요 금융회사는 신규 중요 제3자 약정 체결 또는 기존 약정의 중요 변경 시 FCA에 사전 통지하여야 하며, 제3국 지점은 통지 의무 면제

⦁ (연간 등록부 제출 의무 신설 — SUP 16.33) 적용 대상 회사는 중요 제3자 약정 등록부를 FCA RegData 시스템을 통해 연 1회 엑셀 형식으로 제출하여야 함


□ 적용 대상 및 범위

⦁ (운영 사고 보고 — SUP 15.18) Part 4A 인가 보유 모든 금융회사, 지급결제서비스사업자(PSP), UK 공인 투자거래소(RIE), 등록 거래정보저장소, 등록 신용평가기관

⦁ (중요 제3자 약정 보고 — SUP 15.19, SUP 16.33) 강화 SMCR 기업, 은행, 지정 투자회사(Designated Investment Firm), 주택금융조합(Building Society), Solvency II 회사, CASS 대형 회사, UK RIE(영국 공인 투자거래소), 인가 전자화폐기관·인가 지급기관, 통합 테이프 제공자(Consolidated Tape Provider)

⦁ 시행 2년 후 FCA는 보고의 적시성·정확성·유용성, 주제별 통찰의 도출, 시스템적 리스크를 야기하는 제3자 집중 위험의 적시 식별 여부 등을 기준으로 정책 효과를 검토할 예정임
URL
링크 연결 https://www.fca.org.uk/publications/policy-statements/ps26-2-operational-incident-third-party-reporting
첨부파일