Ujawnianie środków bezpieczeństwa cybernetycznego spółek publicznych i hacków byłoby wzmocnione, gdyby nowe przepisy zaproponowane przez Komisję Papierów Wartościowych i Giełd zostały dziś zatwierdzone.
Przewodniczący SEC Gary Gensler powiedział, że propozycje, jeśli zostaną przyjęte, wzmocnią zdolność inwestorów do oceny incydentów cyberbezpieczeństwa i zgłaszania środków ostrożności przez firmy, których są właścicielami, poprzez udostępnianie spójnych, porównywalnych, wiarygodnych i umożliwiających podejmowanie decyzji informacji.
Powiedział, że cyberzagrożenia stanowią dla firm poważne ryzyko finansowe, prawne, operacyjne i reputacyjne.
Jessica Wachter, główny ekonomista SEC i dyrektor Departamentu Analizy Ekonomicznej i Ryzyka, powiedziała, że propozycje obniżą koszty wyszukiwania dla inwestorów i ułatwią porównywanie porównań cyberbezpieczeństwa między firmami.
Zgodnie z propozycjami firma byłaby zobowiązana do ujawnienia istotnego incydentu cyberbezpieczeństwa w ciągu czterech dni po ustaleniu przez firmę, że doszło do niego. Firma byłaby również zobowiązana do okresowego ujawniania dodatkowych informacji o incydencie.
Dodatkowo spółka musiałaby ujawnić rolę kierownictwa i zarządu oraz nadzór nad zagrożeniami cyberbezpieczeństwa; czy posiada polityki i procedury cyberbezpieczeństwa; oraz w jaki sposób zagrożenia i incydenty związane z cyberbezpieczeństwem mogą wpłynąć na finanse firmy; oraz czy członkowie zarządu posiadają wiedzę specjalistyczną w zakresie cyberbezpieczeństwa.
Komisarz Demokratów Caroline Crenshaw powiedziała, że nowe przepisy stały się niezbędne, ponieważ prezesi uznali incydenty cybernetyczne za największe zagrożenie dla rozwoju biznesu w nadchodzących latach.
Twierdziła, że obecnie „kto, co, kiedy i gdzie ujawnienia” jest niewiarygodne.
Sprzeciwiając się propozycji, jedyna republikańska członkini Komisji, Hester Peirce, oskarżyła ją o flirtowanie z wyznaczeniem SEC jako centrum dowodzenia cyberbezpieczeństwem.
„Nie jesteśmy regulatorami posiadającymi niezbędną wiedzę specjalistyczną” — powiedział Peirce.
Sprzeciwiła się również propozycjom, które doprowadziłyby do bezprecedensowego mikrozarządzania zarządami przez SEC, wymagając od firm ujawniania wiedzy członków zarządów o cyberbezpieczeństwie.
Źródło: https://www.forbes.com/sites/tedknutson/2022/03/09/cybersecurity-disclosures-would-be-strengthened-under-new-sec-proposals/