10 lutego 2026 r. Agencja Usług Finansowych (FSA) opublikowała projekt nowych obowiązkowych wymogów cyberbezpieczeństwa dla giełd kryptowalut. Regulator zamierza nakazać wszystkim krajowym platformom krypto przeprowadzenie kompleksowej samooceny cyberbezpieczeństwa (CSSA) w reakcji na wzrost liczby zaawansowanych włamań i kradzieży aktywów cyfrowych. Nowe przepisy mogą wejść w życie w roku podatkowym 2026, a konsultacje publiczne nad projektem potrwają do 11 marca 2026 r.
FSA przyznaje, że modele przechowywania offline (cold‑storage) przestały być wystarczające do ochrony aktywów. Zagrożenia stały się bardziej złożone, a ataki — bardziej zaawansowane i pośrednie, w tym naruszenia za pośrednictwem kontrahentów i socjotechnik. Japonia wzmacnia nadzór nad giełdami krypto, przesuwając akcent z formalnych kontroli zgodności na ochronę systemową. Po upadku Mt. Gox w 2014 r. kraj ten jako pierwszy wprowadził obowiązkowe licencjonowanie giełd na mocy ustawy o usługach płatniczych (Payment Services Act). Obecna inicjatywa stanowi kolejny etap regulacji.
Nowe ramy przewidują ciągłą analizę ryzyk i podatności. Giełdy będą zobowiązane do oceny bezpieczeństwa portfeli „hot” i „cold”, systemów przechowywania kluczy, architektury sieciowej; szkoleń personelu i zabezpieczeń przeciw phishingowi oraz socjotechnice; standardów bezpieczeństwa dla kontrahentów i dostawców zewnętrznych; planów reagowania na incydenty i procedur odzyskiwania; oraz ochrony danych użytkowników zgodnie z ustawą o ochronie danych osobowych ( APPI). FSA planuje przeprowadzać testy penetracyjne w czasie rzeczywistym na systemach operatorów i może zaangażować etycznych hakerów. Podejście to wpisuje się w światowy trend: UE przyjęła rozporządzenie MiCA, a Singapur zaostrza wymagania dotyczące odporności operacyjnej firm kryptowalutowych.
