Новые правила SEC требуют от компаний в течение четырёх суток раскрывать информацию о любых инцидентах кибербезопасности
Публичные компании обязали в течение четырёх суток с момента обнаружения раскрывать сведения о любых инцидентах кибербезопасности, включая сообщения о взломах и утечках данных, следует из новых правил Комиссии по ценным бумагам и биржам США (SEC).
Фирмы будут должны делать это в Form 8-K. Эти общедоступные документы информируют акционеров о серьёзных изменениях в компании. Форма теперь будет содержать новый пункт 1.05 для инцидентов кибербезопасности.
Компании должны сообщать о «характере, масштабе и сроках», а также о существенном или вероятном влиянии инцидентов на организацию.
Раскрытие информации можно отложить, если генеральный прокурор США решит, что оповещение акционеров об инциденте «представляет существенный риск для национальной или общественной безопасности».
Также SEC разработала новый пункт 106 в Regulation S-K, который включат в Form 10-K. Это потребует от компаний предоставлять описание своих действий для оценки, выявления и управления рисками, связанными с угрозами кибербезопасности. Фирмы должны раскрывать возможности по оценке и управлению рисками кибератак.
Независимо от того, потеряет ли компания фабрику в результате пожара или миллионы файлов из-за инцидента с кибербезопасностью, это может иметь значение для инвесторов, указывает председатель SEC Гэри Генслер.
Комиссия начнёт требовать от компаний раскрывать сведения об утечках данных спустя 90 дней после публикации положения в Федеральном реестре или не позже 18 декабря 2023 года. Фирмы обяжут включать свои протоколы кибербезопасности в Form 10-K с 15 декабря 2023 года или позже.
