Комиссия по ценным и бумагам и биржам (SEC) приняла новые правила раскрытия информации о кибератаках.
В соответствии с новыми правилами компании, торгующиеся на американских фондовых рынках, должны быть более открытыми и ответственными в вопросах кибербезопасности. Теперь они должны не только сообщать о серьезных кибератаках, но и рассказывать о своей стратегии и мерах по защите от киберугроз.
В частности, они должны будут раскрывать информацию о любых серьезных инцидентах в области кибербезопасности в течение четырех дней после обнаружения киберинцидента, который может иметь существенное воздействие на их бизнес или финансы. Исключением являются те ситуации, когда разглашение данных может представлять угрозу национальной или общественной безопасности.
Кроме того, каждый год организации обязаны представлять информацию, касающуюся их кибербезопасности, стратегии и управления рисками.
Председатель SEC Гари Генслер сказал, что информация о кибербезопасности может быть важна для инвесторов, так же как и любые другие события, влияющие на финансовое состояние или операционную деятельность компании. Он выразил надежду, что новые правила помогут сделать эту информацию более доступной, сравнимой и полезной для принятия решений.
Кроме того, SEC разработала новый пункт 106 в Regulation S-K, который включат в Form 10-K. Это потребует от компаний предоставлять описание своих действий для оценки, выявления и управления рисками, связанными с угрозами кибербезопасности. Новые правила также касаются иностранных частных эмитентов, которые должны делать аналогичные раскрытия по формам 6-K и 20-F. Новые правила вступят в силу через 30 дней после публикации в Федеральном реестре. Раскрытия по форме 10-K и 20-F будут обязательны начиная с отчетности за финансовый год, заканчивающийся 15 декабря 2023 года. Раскрытия по форме 8-K и 6-K должны будут быть предоставлены не ранее 90 дней после даты публикации в Федеральном реестре или 18 декабря 2023 года.
Добавим, что правила приняли 26 июля, однако в силу они вступят только через 30 дней после публикации официального релиза в Федеральном реестре. Впервые правила кибербезопасности были предложены SEC в марте 2022 года.