SEC схвалила порядок розкриття емітентами інформації про кіберінциденти, пом'якшивши низку норм після обговорення

Вашингтон. 28 липня. ІНТЕРФАКС-УКРАЇНА – Комісія з цінних паперів і бірж США (SEC) схвалила в остаточному варіанті нормативний акт, який зобов’язує публічні компанії розкривати інформацію про суттєві кіберінциденти.

“Втратила компанія промисловий об’єкт через пожежу, або ж мільйони записів про клієнтів через проблеми з інформаційною безпекою, – це може бути суттєвим для інвесторів”, – наведено слова керівника комісії Гері Генслера на сайті регулятора.

Згідно з новими правилами, публічні компанії мають повідомляти про кібератаки протягом чотирьох робочих днів після того, як інцидент визнали суттєвим, відправляючи до SEC форму 8-K.

За підсумками громадського обговорення низку положень документа було скориговано в бік пом’якшення.

Так, акцент під час розкриття інформації зміщено тепер у бік наслідків інциденту, а не його обставин. Експерти, коментуючи початковий проєкт нормативного акта, звертали увагу на ризики, пов’язані з публікацією відомостей про інформаційні системи компанії та способи їх відновлення, оскільки така інформація може тільки допомогти хакерам.

Компаніям пропонується описувати в річних звітах процес ідентифікації кіберризиків, а також як цими ризиками управляє менеджмент компанії, як їх контролює рада директорів.

Комісія за підсумками громадського обговорення також відмовилася від вимоги, щоб компанії повідомляли про рівень наявної у членів рад директорів професійної експертизи в галузі інформаційної безпеки.

В окремих випадках компанії можуть отримувати відтермінування розкриття інформації на 30 днів, якщо її оприлюднення може становити ризики у сфері національної або громадської безпеки.

Американські компанії почнуть виконувати нові вимоги SEC із середини грудня.

administrator

Related Articles