4 дня на ответ: SEC ужесточает правила раскрытия киберинцидентов
Публичные компании обязаны предоставлять отчеты о киберинцидентах в течение 4 дней.
Комиссия по ценным бумагам и биржам США (SEC) утвердила новые правила, которые заставят компании, торгующиеся на американских фондовых рынках, быть более открытыми и ответственными в вопросах кибербезопасности. Теперь они должны не только сообщать о серьезных кибератаках, но и рассказывать о своей стратегии и мерах по защите от киберугроз.
Председатель SEC Гари Генслер сказал, что информация о кибербезопасности может быть важна для инвесторов, так же как и любые другие события, влияющие на финансовое состояние или операционную деятельность компании. Он выразил надежду, что новые правила помогут сделать эту информацию более доступной, сравнимой и полезной для принятия решений.
По новым правилам, компании обязаны в течение четырех рабочих дней после обнаружения киберинцидента, который может иметь существенное воздействие на их бизнес или финансы, опубликовать об этом специальное уведомление по форме 8-K. В нем они должны указать основные детали инцидента, а также его последствия или потенциальные риски для компании. Форма теперь будет содержать новый пункт 1.05 для инцидентов кибербезопасности.
Раскрытие информации может быть отложено только по решению Генерального прокурора США, если он посчитает, что оповещение акционеров об инциденте создаст угрозу для национальной или общественной безопасности и письменно уведомит об этом Комиссию.
Кроме того, SEC разработала новый пункт 106 в Regulation S-K, который включат в Form 10-K. Это потребует от компаний предоставлять описание своих действий для оценки, выявления и управления рисками, связанными с угрозами кибербезопасности. Фирмы должны раскрывать возможности по оценке и управлению рисками кибератак.
Новые правила также касаются иностранных частных эмитентов, которые должны делать аналогичные раскрытия по формам 6-K и 20-F.
Новые правила вступят в силу через 30 дней после публикации в Федеральном реестре. Раскрытия по форме 10-K и 20-F будут обязательны начиная с отчетности за финансовый год, заканчивающийся 15 декабря 2023 года. Раскрытия по форме 8-K и 6-K должны будут быть предоставлены не ранее 90 дней после даты публикации в Федеральном реестре или 18 декабря 2023 года.
Цифровые следы - ваша слабость, и хакеры это знают.