GFIA cree que el conjunto de herramientas para dar respuesta y recuperación a incidentes cibernéticos se centra demasiado en las grandes instituciones financieras mundiales. Considera que debe haber una "mayor proporcionalidad" para atender las necesidades de entidades de menor tamaño y complejidad, como pymes y aseguradoras cautivas.

Responde así a la consulta que realizó la Financial Stability Board (FSB) sobre prácticas efectivas antes, durante y después de incidentes cibernéticos. Muestra su preocupación por el hecho de que esas herramientas impondrían obligaciones a la junta directiva de una aseguradora "que van más allá de las expectativas de gobierno corporativo y los requisitos de derecho corporativo". En ese sentido pide que el conjunto de herramientas reconozca la importancia de proteger de forma apropiada la responsabilidad de la alta dirección y de la junta.

Por otro lado, GFIA solicita un mayor intercambio de datos entre agencias y jurisdicciones. "Estos esfuerzos son herramientas de mitigación importantes que evitan la propagación de los mismos o similares ataques cibernéticos y permiten a las empresas aprender y evaluar su propio enfoque de la seguridad cibernética de una manera basada en el riesgo", afirma. Y estima que deberían acuerdos de intercambio entre la parte pública y la privada.