Комісія з цінних паперів і бірж США (SEC) прийняла нові правила щодо кібербезпеки, стратегії, управління та розкриття інцидентів публічними компаніями. Нові правила зобов’язують реєстрантів розкривати суттєві інциденти, пов’язані з кібербезпекою, і щороку розкривати деталі щодо свого управління ризиками кібербезпеки, стратегії та управління.
Як зазначається у повідомленні регулятора, нові правила, спрямовані на полегшення розкриття компаніями відповідної інформації про кібербезпеку, будуть корисними для інвесторів, компаній і взаємопов’язаних ринків.
Згідно із новими правилами типовий кінцевий термін подання становить чотири робочі дні після того, як реєстрант визначить, що інцидент кібербезпеки є суттєвим.
Розголошення може бути відкладено, якщо Генеральний прокурор США вважає, що негайне розголошення буде суттєвою загрозою національній або громадській безпеці. За таких обставин Генпрокурор має письмово повідомити Комісію про таке рішення.
SEC додатково запровадили вимогу описувати процес оцінки, ідентифікації та управління суттєвими ризиками, спричиненими загрозами кібербезпеці, а також суттєвими наслідками або ризиками, які, ймовірно, можуть мати матеріальні наслідки, що спричинені загрозами кібербезпеці та попередніми інцидентами кібербезпеки.
Окрім цього додатково вимагається від реєстрантів описувати рішення ради директорів щодо ризиків та загроз кібербезпеці, а також роль і досвід керівництва в оцінці та управлінні ними.
Відповідно до офіційної заяви, остаточні правила набудуть чинності через 30 днів після публікації.