- Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) wprowadziła nowe przepisy wymagające od spółek notowanych na giełdzie ujawnienia cyberataków w ciągu czterech dni roboczych od stwierdzenia, że są to istotne incydenty.
- Istotne zdarzenia uznawane są przez akcjonariuszy za istotne przy podejmowaniu decyzji inwestycyjnych.
- W następstwie cyberataków zagraniczni emitenci prywatni są również zobowiązani do przedstawienia równoważnych ujawnień.
- Ujawnienia muszą zawierać informacje dotyczące cyberataku, w tym jego charakteru, zakresu i chronologii, i muszą być uwzględniane w okresowych raportach (w szczególności na formularzach 8-K).
- Nowe zasady wejdą w życie w grudniu, ale mniejsze firmy będą miały dodatkowe 180 dni, zanim wymagane będzie ujawnienie formularza 8-K. Jeżeli natychmiastowe ujawnienie stwarza poważne zagrożenie dla bezpieczeństwa narodowego lub publicznego, termin ujawnienia może zostać przedłużony pod pewnymi warunkami.
Stany Zjednoczone Komisja Papierów Wartościowych i Giełd przyjęła nowe przepisy nakazujące spółkom notowanym na giełdzie ujawnienie cyberataków w ciągu czterech dni roboczych od stwierdzenia, że są to istotne incydenty.
Według organu nadzorującego Wall Street, istotne wydarzenia to te, które akcjonariusze spółki publicznej uznaliby za znaczące”przy podejmowaniu decyzji inwestycyjnej”.
Ponadto SEC przyjęła nowe przepisy zobowiązujące zagranicznych emitentów prywatnych do zapewnienia równoważnych ujawnień w następstwie cyberataków.
Kluczowe informacje wymagane w ujawnianiu cybernaruszeń, wyjaśnia SEC
„Niezależnie od tego, czy firma straci obiekt w wyniku pożaru, czy miliony plików w wyniku cyberataku, może to mieć znaczący wpływ na inwestorów. Przewodniczący SEC Gary Gensler stwierdził, że większość spółek publicznych udostępnia inwestorom informacje dotyczące cyberbezpieczeństwa.
„Uważam, że zarówno firmy, jak i inwestorzy skorzystaliby na bardziej spójnym, porównywalnym i przydatnym przy podejmowaniu decyzji ujawnieniu tych informacji. Dzięki zapewnieniu, że firmy ujawniają istotne informacje dotyczące cyberbezpieczeństwa, dzisiejsze zasady przyniosą korzyści inwestorom, firmom i połączonym rynkom”.
Spółki giełdowe są teraz zobowiązane do umieszczania szczegółowych informacji na temat cyberataku (w tym charakteru, zakresu i harmonogramu incydentu) w okresowych raportach, w szczególności w formularzach 8-K.
Nowe zasady zgłaszania incydentów cyberbezpieczeństwa mają wejść w życie w grudniu, czyli 30 dni po publikacji w Rejestrze Federalnym.
Jednak mniejszym firmom zostanie przyznane dodatkowe 180 dni, zanim będą wymagane ujawnienia na formularzu 8-K. Jeśli Prokurator Generalny Stanów Zjednoczonych stwierdzi, że natychmiastowe ujawnienie stanowiłoby poważne zagrożenie dla bezpieczeństwa narodowego lub publicznego, w pewnych okolicznościach termin ujawnienia może zostać przedłużony.
Ujawnienia dokonywane w odpowiednim czasie w celu zwiększenia przejrzystości
SEC ujawniła zamiar przyjęcia nowych zasad w marcu 2022 r. ponad rok temu, w marcu 2021 r. Nowe zasady (PDF) dostarczać inwestorom natychmiastowych powiadomień o incydentach związanych z bezpieczeństwem mających wpływ na spółki notowane na giełdzie, zwiększając w ten sposób ich zrozumienie zarządzania ryzykiem cybernetycznym i strategii.
Wymagają one ujawnienia następujących informacji związanych z naruszeniem (jeśli są dostępne w momencie składania formularza 8-K):
- Data wykrycia incydentu i jego bieżący stan (w toku lub rozwiązany).
- Zwięzły opis charakteru i zakresu zdarzenia.
- Wszelkie informacje, które zostały naruszone, zmienione, udostępnione lub wykorzystane bez pozwolenia.
- Wpływ incydentu na działalność firmy.
- Informacje dotyczące trwających lub zakończonych działań naprawczych firmy.
Jednak firmy, których to dotyczy, nie powinny ujawniać szczegółów technicznych swoich planów reagowania na incydenty ani informacji o potencjalnych lukach w zabezpieczeniach, które mogłyby wpłynąć na ich reakcję i działania naprawcze. Według Lesley Ritter, starszego wiceprezesa Moody’s Investors Service, nowe zasady zwiększą przejrzystość, ale będą prawdopodobnie trudne dla mniejszych firm.
„Zasady ujawniania cyberbezpieczeństwa przyjęte dzisiaj przez amerykańską Komisję Papierów Wartościowych i Giełd zapewnią większą przejrzystość skądinąd nieprzejrzystego, ale rosnącego ryzyka, a także większą spójność i przewidywalność” – powiedział Ritter BleepingComputer.
„Większe ujawnianie informacji powinno pomóc firmom w porównywaniu praktyk i może stymulować ulepszenia cyberobrony, ale mniejszym firmom dysponującym mniejszymi zasobami może być trudniej spełnić nowe standardy ujawniania informacji”.
Kredyt na wyróżniony obraz: Nierozpryskiwany.
Source: SEC nakazuje terminowe ujawnianie informacji o cyberatakach dla spółek notowanych na giełdzie