Νέοι κανόνες αποκάλυψης ασφάλειας στον κυβερνοχώρο της SEC: Τι πρέπει να γνωρίζετε για να παραμείνετε σε συμμόρφωση

By

Marizas Dimitris

On

Σεπ 26, 2023

Cinthia Motley

Συνεισφέρων

Cinthia Motley

είναι ο Διευθυντής του

Global

Data

Privacy

and Information Security Practice Group της Dykema και επίσης ηγείται του Business Litigation Practice Group της Dykema.

Μάθιου Χέις

είναι ανώτερος

δικηγόρος

στο Dykema και Πιστοποιημένος Επαγγελματίας Προστασίας Προσωπικών Δεδομένων τόσο για

τι

ς ΗΠΑ όσο και για τον Καναδά, ο οποίος έχει εργαστεί εκτενώς με τους ομοσπονδιακούς, τομεακούς και κρατικούς νόμους περί απορρήτου των ΗΠΑ.

Οι τίτλοι και

Η Επιτροπή ανταλλαγής (SEC) έχει κάνει ένα σημαντικό βήμα για την ενίσχυση των γνωστοποιήσεων κυβερνοασφάλειας για τις δημόσιες εταιρείες, υιοθετώντας νέους κανόνες που στοχεύουν να παρέχουν στους επενδυτές ολοκληρωμένες και τυποποιημένες πληροφορίες σχετικά με τη διαχείριση κινδύνων στον κυβερνοχώρο, τη στρατηγική, τη διακυβέρνηση και τα συμβάντα.

Εγκρίθηκε τον Ιούλιο του 2023,

αυτούς τους νέους κανόνες

μετά από μια μακρά διαδικασία θέσπισης κανόνων και δημοσίων σχολίων και λειτουργεί ως επίσημη αναγνώριση ότι ο διαρκώς παρών κίνδυνος απειλών για την ασφάλεια στον κυβερνοχώρο μπορεί να επηρεάσει τη λήψη αποφάσεων από τους επενδυτές.

Τα κυριότερα σημεία: Τι πρέπει να γνωρίζετε

Η ουσία του

τους νέους κανόνες SEC

είναι ότι οι εταιρείες υποχρεούνται να αναφέρουν τόσο σημαντικά περιστατικά κυβερνοασφάλειας όσο και διαδικασίες διαχείρισης κινδύνων στον κυβερνοχώρο με τυποποιημένο τρόπο και σύμφωνα με ορισμένα χρονοδιαγράμματα. Πιο συγκεκριμένα:

Αποκαλύψεις περιστατικών

Ο τελικός κανόνας απαιτεί γνωστοποιήσεις τρέχουσας αναφοράς (Στοιχείο 1.05 στη φόρμα 8K ή 6-K) εντός τεσσάρων ημερών από «ουσιώδη» συμβάντα κυβερνοασφάλειας που περιγράφουν (1) τη φύση, το εύρος και το χρόνο του συμβάντος και (2) τον αντίκτυπο ή πιθανή επιπτώσεις του συμβάντος στον καταχωρίζοντα, συμπεριλαμβανομένων των οικονομικών και λειτουργικών επιπτώσεων.

Ετήσιες γνωστοποιήσεις

Ο τελικός κανόνας απαιτεί γνωστοποιήσεις σε ετήσιες εκθέσεις (Έντυπο 10-K ή 20-F) που περιγράφουν (1) τη διαδικασία του καταχωρίζοντος για τον εντοπισμό, την αξιολόγηση και τη διαχείριση κινδύνων για την ασφάλεια στον κυβερνοχώρο. (2) πώς οι κίνδυνοι από απειλές για την ασφάλεια στον κυβερνοχώρο έχουν επηρεάσει ουσιαστικά ή εύλογα πιθανό να επηρεάσουν ουσιαστικά τις επιχειρηματικές δραστηριότητες, τη στρατηγική ή τις οικονομικές συνθήκες· (3) η εποπτεία του διοικητικού συμβουλίου του καταχωρίζοντος για τους κινδύνους για την ασφάλεια στον κυβερνοχώρο και (4) ο ρόλος της διοίκησης στην αξιολόγηση και τη διαχείριση των κινδύνων από απειλές για την ασφάλεια στον κυβερνοχώρο.

Η SEC απαιτεί από τις εταιρείες να αναφέρουν τόσο σημαντικά περιστατικά στον κυβερνοχώρο όσο και τις διαδικασίες διαχείρισης κινδύνων στον κυβερνοχώρο με τυποποιημένο τρόπο.

Προθεσμίες

Ο τελικός κανόνας τέθηκε σε ισχύ στις 5 Σεπτεμβρίου 2023. Η ετήσια αποκάλυψη της κυβερνοασφάλειας θα απαιτείται για τους καταχωρίζοντες με φορολογικά έτη που ξεκινούν από τις 15 Δεκεμβρίου 2023 και μετά. Η υποχρέωση γνωστοποίησης της τρέχουσας έκθεσης του Στοιχείου 1.05 ξεκινά αμέσως μετά, στις 18 Δεκεμβρίου 2023, αν και οι μικρότερες εταιρείες παροχής στοιχείων έχουν περιθώριο έως τις 15 Ιουνίου

2024

. Επιπλέον, αρχής γενομένης από τις 15 και 18 Δεκεμβρίου 2024, υπάρχουν πρόσθετες απαιτήσεις σχετικά με τη μορφοποίηση αυτών των ετήσιων και γνωστοποιήσεις τρέχουσας αναφοράς, αντίστοιχα (δηλαδή, μορφοποίηση αυτών των γνωστοποιήσεων σε Inline XBRL ώστε να επιτρέπεται η αυτοματοποιημένη δυνατότητα αναζήτησης και ανάλυσης).

Λεπτομέρειες: Τι λένε οι κανόνες

Υπήρξε ένα περιστατικό – τι πρέπει να αποκαλυφθεί;

Οι νέοι κανόνες απαιτούν την αποκάλυψη περιστατικών κυβερνοασφάλειας που κρίνονται «ουσιώδη» (περισσότερα για αυτό παρακάτω), καθώς και τη φύση, το εύρος και το χρονοδιάγραμμα του συμβάντος και την εύλογα πιθανή επίδραση του συμβάντος στην οικονομική κατάσταση και τις λειτουργίες του καταχωρίζοντος.

Ωστόσο, σε αντίθεση με προηγούμενες επαναλήψεις του σχεδίου κανόνα, δεν υπάρχει απαίτηση αποκάλυψης συγκεκριμένων ή τεχνικών πληροφοριών σχετικά με την προγραμματισμένη απάντηση του καταχωρίζοντος στο συμβάν ή τις πιθανές ευπάθειες των συστημάτων κυβερνοασφάλειας.

Πόσο σύντομα πρέπει να γίνει η αποκάλυψη;

Μέσα σε τέσσερις εργάσιμες ημέρες! Το να έχετε τέσσερις ημέρες για να αποκαλύψετε ένα περιστατικό κυβερνοασφάλειας σε μια δημόσια κατάθεση μπορεί να φαίνεται δύσκολο, και είναι, αλλά υπάρχει μεγαλύτερη ευελιξία ενσωματωμένη στις παραμέτρους του τελικού κανόνα από ό,τι φαίνεται.

Το ρολόι των τεσσάρων ημερών ξεκινά μόνο στο σημείο που ο καταχωρίζων έχει διαπιστώσει ότι έχει βιώσει ένα «ουσιώδες» περιστατικό ασφάλειας στον κυβερνοχώρο και ότι ο προσδιορισμός της ουσιαστικότητας χρειάζεται μόνο «χωρίς αδικαιολόγητη καθυστέρηση».

Όσο ευέλικτο και αν είναι το πρότυπο, δεν επιτρέπει σε έναν καταχωρίζοντα να επεκτείνει μια έρευνα έως ότου αποκατασταθεί πλήρως το συμβάν, προκειμένου να καθυστερήσει η αναφορά. Ένας καταχωρίζων πρέπει να κάνει τη γνωστοποίηση 8-K με τις πληροφορίες που ήταν διαθέσιμες εκείνη τη στιγμή και στη συνέχεια να συμπληρώσει τις αρχικές γνωστοποιήσεις όπως απαιτείται μέσω μιας τροποποίησης στο Σημείο 1.05.

techcrunch.com

Παρόμοια άρθρα