By Вашингтон. 28 липня. ІНТЕРФАКС-УКРАЇНА – Комісія з цінних паперів і бірж США (SEC) схвалила в остаточному варіанті нормативний акт, який зобов’язує публічні компанії розкривати інформацію про суттєві кіберінциденти.
“Втратила компанія промисловий об’єкт через пожежу, або ж мільйони записів про клієнтів через проблеми з інформаційною безпекою, – це може бути суттєвим для інвесторів”, – наведено слова керівника комісії Гері Генслера на сайті регулятора.
Згідно з новими правилами, публічні компанії мають повідомляти про кібератаки протягом чотирьох робочих днів після того, як інцидент визнали суттєвим, відправляючи до SEC форму 8-K.
За підсумками громадського обговорення низку положень документа було скориговано в бік пом’якшення.
Так, акцент під час розкриття інформації зміщено тепер у бік наслідків інциденту, а не його обставин. Експерти, коментуючи початковий проєкт нормативного акта, звертали увагу на ризики, пов’язані з публікацією відомостей про інформаційні системи компанії та способи їх відновлення, оскільки така інформація може тільки допомогти хакерам.
Компаніям пропонується описувати в річних звітах процес ідентифікації кіберризиків, а також як цими ризиками управляє менеджмент компанії, як їх контролює рада директорів.
Комісія за підсумками громадського обговорення також відмовилася від вимоги, щоб компанії повідомляли про рівень наявної у членів рад директорів професійної експертизи в галузі інформаційної безпеки.
В окремих випадках компанії можуть отримувати відтермінування розкриття інформації на 30 днів, якщо її оприлюднення може становити ризики у сфері національної або громадської безпеки.
Американські компанії почнуть виконувати нові вимоги SEC із середини грудня.
