Правила Комиссии по ценным бумагам и биржам по раскрытию киберинформации: как подготовиться к декабрьским срокам

Новые правила Комиссии по ценным бумагам и биржам США, касающиеся раскрытия инцидентов кибербезопасности, вступают в силу 15 декабря для публичных компаний, финансовые годы которых начинаются в эту дату или после нее.

Публичные компании должны ежегодно отчитываться о своих процессах обнаружения, оценки и смягчения угроз кибербезопасности. Они также должны сообщать о возможных материальных последствиях таких угроз, надзоре совета директоров за рисками кибербезопасности, а также о роли и опыте руководства в борьбе с угрозами кибербезопасности.

В дополнение к годовым отчетам, начиная с 18 декабря, все публично торгуемые компании должны сообщать SEC о существенных инцидентах кибербезопасности в течение четырех дней, если инцидент будет признан существенным. Раскрытие информации должно быть сделано в соответствии с пунктом 1.05 формы SEC 8-K.

Перейти к:

Подготовка новых раскрытий и сглаживание процесса раскрытия информации Определение того, является ли инцидент кибербезопасности существенным В ответ компании ужесточают правила кибербезопасности

Подготовка новых раскрытий и сглаживание процесса раскрытия информации

Директора по информационной безопасности, финансовые директора и другие бизнес-лидеры могут подготовиться к вступлению этих правил в силу, подготовив новые раскрытия информации задолго до конца финансового года, чтобы все соответствующие сотрудники имели возможность ознакомиться с ними. ИТ, информационная безопасность, юридические группы, группы по отчетности SEC и внешние консультанты - все должны участвовать в создании и оценке средств контроля и процедур раскрытия информации.

Многие компании уже проводят оценку готовности, сказал Надж Адиб, директор по кибербезопасности и стратегическим рискам Deloitte, в телефонном интервью TechRepublic. Публичные компании уже привыкли заполнять декларации 8-K и 10-K для крупных событий или новых акций соответственно. Теперь эти организации задаются вопросом, что им нужно изменить или улучшить в своих процедурах раскрытия информации, реагировании на инциденты и существующих кибервозможностях.

ПОСМОТРЕТЬ: Apple рекомендует пользователям обновить свою ОС, чтобы устранить две уязвимости безопасности. (Техреспублик)

«В конечном итоге меняется взаимодействие между кибербезопасностью и ИТ, комитетом по раскрытию информации и людьми, которые занимаются раскрытием информации», — сказал Адиб.

Новые правила дополняют стандартные процессы реагирования на инциденты. Теперь «нам нужно взять результаты этих процессов и передать их группе лиц, которые будут нести ответственность за определение существенности», — сказал Адиб. «Это может быть кто угодно из комитета по раскрытию информации, люди, входящие в состав юрисконсульта и офиса корпоративного секретаря, в зависимости от организации».

Определение того, является ли инцидент кибербезопасности существенным

Определить, является ли инцидент существенным, может быть сложно, и SEC не дает точного определения. Существенным инцидентом в законодательстве о ценных бумагах обычно считается инцидент, при котором «существует значительная вероятность того, что разумный акционер сочтет его важным», согласно трем судебным делам, на которые ссылается SEC.

При определении того, является ли инцидент существенным, комитеты по раскрытию информации должны учитывать, подвергается ли организация риску финансовых потерь, подпорченной репутации, значительного простоя или потери доверия общественности, сообщила компания Deloitte.

Чтобы сделать этот процесс гладким, необходимо согласовать людей, процессы и технологии, сказал Адиб. Организациям необходимо выстроить процессы, позволяющие собрать людей из разных групп заинтересованных сторон – кибер-, ИТ-, финансовых, юридических – вместе в комитете по раскрытию информации для обсуждения потенциального инцидента. Этим людям необходимо будет вынести профессиональное суждение о том, является ли инцидент существенным.

Технология, используемая для определения существенности, будет различаться в зависимости от организации, но обычно включает:

Платформы информации о безопасности и управления событиями. Платформы оркестровки безопасности, автоматизации и реагирования. Платформы разведки угроз. Платформы реагирования на угрозы. Билетные платформы.

«Вам необходимо использовать эти платформы, инструменты, процессы и возможности, чтобы иметь возможность идентифицировать киберинцидент, а затем использовать его по всей цепочке для определения существенности», — сказал Адиб. «Но, как мы знаем, инструменты хороши настолько, насколько хороши люди, которые их используют».

В случае, если инцидент рассматривается на предмет существенности, сказал Адиб, организации должны быть уверены, что они учитывают:

Кто за столом? Достаточно ли у нас информации? Как инцидент повлияет на наш бизнес?

В планах Deloitte по определению существенности на основе рекомендаций SEC они используют таксономию, включающую различные области рисков: финансовые, операционные, репутационные, нормативные, расширенные корпоративные (третьи стороны, поставщики и клиенты), стратегические, технологические и кадровые (здоровье и безопасность). - сказал Адиб.

В ответ компании ужесточают правила кибербезопасности

Цель правил — проинформировать инвесторов о возможных последствиях инцидента, чтобы «принести пользу инвесторам, компаниям и рынкам, которые их связывают», — заявил председатель SEC Гэри Генслер в пресс-релизе, опубликованном 26 июля 2023 года.

2 августа 2022 года компания Deloitte провела опрос более 1300 руководителей высшего звена и других руководителей публичных организаций и обнаружила, что 64,8% планируют усилить свои усилия по обеспечению кибербезопасности в ответ на новые правила SEC. Более половины (54,1%) опрошенных руководителей заявили, что будут подталкивать третьи лица к улучшению своих киберпрограмм в ответ на новые правила SEC. Опрос проводился во время вебинара о новых требованиях SEC.