Ujawnienia dotyczące cyberbezpieczeństwa zostaną wzmocnione w ramach nowych propozycji SEC

Ujawnianie środków bezpieczeństwa cybernetycznego spółek publicznych i hacków byłoby wzmocnione, gdyby nowe przepisy zaproponowane przez Komisję Papierów Wartościowych i Giełd zostały dziś zatwierdzone.

Przewodniczący SEC Gary Gensler powiedział, że propozycje, jeśli zostaną przyjęte, wzmocnią zdolność inwestorów do oceny incydentów cyberbezpieczeństwa i zgłaszania środków ostrożności przez firmy, których są właścicielami, poprzez udostępnianie spójnych, porównywalnych, wiarygodnych i umożliwiających podejmowanie decyzji informacji.

Powiedział, że cyberzagrożenia stanowią dla firm poważne ryzyko finansowe, prawne, operacyjne i reputacyjne.

Jessica Wachter, główny ekonomista SEC i dyrektor Departamentu Analizy Ekonomicznej i Ryzyka, powiedziała, że ​​propozycje obniżą koszty wyszukiwania dla inwestorów i ułatwią porównywanie porównań cyberbezpieczeństwa między firmami.

Zgodnie z propozycjami firma byłaby zobowiązana do ujawnienia istotnego incydentu cyberbezpieczeństwa w ciągu czterech dni po ustaleniu przez firmę, że doszło do niego. Firma byłaby również zobowiązana do okresowego ujawniania dodatkowych informacji o incydencie.

Dodatkowo spółka musiałaby ujawnić rolę kierownictwa i zarządu oraz nadzór nad zagrożeniami cyberbezpieczeństwa; czy posiada polityki i procedury cyberbezpieczeństwa; oraz w jaki sposób zagrożenia i incydenty związane z cyberbezpieczeństwem mogą wpłynąć na finanse firmy; oraz czy członkowie zarządu posiadają wiedzę specjalistyczną w zakresie cyberbezpieczeństwa.

Komisarz Demokratów Caroline Crenshaw powiedziała, że ​​nowe przepisy stały się niezbędne, ponieważ prezesi uznali incydenty cybernetyczne za największe zagrożenie dla rozwoju biznesu w nadchodzących latach.

Twierdziła, że ​​obecnie „kto, co, kiedy i gdzie ujawnienia” jest niewiarygodne.

Sprzeciwiając się propozycji, jedyna republikańska członkini Komisji, Hester Peirce, oskarżyła ją o flirtowanie z wyznaczeniem SEC jako centrum dowodzenia cyberbezpieczeństwem.

„Nie jesteśmy regulatorami posiadającymi niezbędną wiedzę specjalistyczną” — powiedział Peirce.

Sprzeciwiła się również propozycjom, które doprowadziłyby do bezprecedensowego mikrozarządzania zarządami przez SEC, wymagając od firm ujawniania wiedzy członków zarządów o cyberbezpieczeństwie.