• Комиссия по ценным бумагам и биржам (SEC) США ввела новые правила, требующие от публично торгуемых компаний раскрывать информацию о кибератаках в течение четырех рабочих дней после определения того, что они являются существенными инцидентами.
  • Существенные события, которые акционеры считают существенными при принятии инвестиционных решений, признаются существенными.
  • После кибератак иностранные частные эмитенты также обязаны предоставлять эквивалентную информацию.
  • Раскрытие информации должно содержать информацию о кибератаке, включая ее характер, масштабы и хронологию, и должно быть включено в периодические отчеты (в частности, в формы 8-K).
  • Новые правила вступят в силу в декабре, но у небольших компаний будет еще 180 дней, прежде чем потребуется раскрытие информации по форме 8-K. Если немедленное раскрытие представляет существенный риск для национальной или общественной безопасности, срок раскрытия может быть продлен при определенных условиях.

Соединенные штаты Комиссия по Безопасности и Обмену принял новые правила, обязывающие публично торгуемые компании раскрывать информацию о кибератаках в течение четырех рабочих дней после определения того, что они являются существенными инцидентами.

По данным наблюдательного органа Уолл-стрит, существенными событиями являются те, которые акционеры публичной компании сочли бы значительными».при принятии инвестиционного решения».

  Как создать NFT бесплатно?

Кроме того, SEC приняла новые правила, требующие от иностранных частных эмитентов предоставлять эквивалентную информацию после кибератак.

You Might Also Like
Предложения хэштегов Twitter и варианты ключевых слов для Дня матери
Предложения хэштегов Twitter и варианты ключевых слов для Дня матери
Событие R6 MUTE Protocol 3 возвращает любимый фанатами игровой режим
Событие R6 MUTE Protocol 3 возвращает любимый фанатами игровой режим
Pixel 6: характеристики, цена и дата выпуска
Pixel 6: характеристики, цена и дата выпуска
СПК
По данным наблюдательного органа Уолл-стрит, «существенные события» — это те события, которые акционеры публичной компании сочли бы важными «при принятии инвестиционного решения» (см.Кредит изображения)

SEC поясняет, что ключевая информация необходима для раскрытия кибератак

«Независимо от того, потеряет ли компания объект в результате пожара или миллионы файлов в результате кибератаки, это может оказать значительное влияние на инвесторов. Председатель SEC Гэри Генслер заявил, что большинство публичных компаний предоставляют инвесторам информацию о кибербезопасности.

«Я считаю, что и компании, и инвесторы выиграют от более последовательного, сопоставимого и полезного для принятия решений раскрытия этой информации. Обеспечив раскрытие компаниями существенной информации о кибербезопасности, сегодняшние правила принесут пользу инвесторам, компаниям и взаимосвязанным рынкам».

Компании, зарегистрированные на бирже, теперь обязаны включать подробную информацию о кибератаке (включая характер, масштабы и сроки инцидента) в периодические отчеты, особенно в формы 8-K.

  Брендинг ресторана: краткое руководство по созданию уникального фирменного стиля

Новые правила сообщения об инцидентах кибербезопасности должны вступить в силу в декабре или через 30 дней после публикации в Федеральном реестре.

СПК
После публикации в Федеральном реестре в течение 30 дней новые правила отчетности о событиях кибербезопасности должны вступить в силу в декабре (Кредит изображения)

Однако более мелким компаниям будет предоставлено еще 180 дней до того, как потребуется раскрытие информации по форме 8-K. Если Генеральный прокурор США решит, что немедленное раскрытие информации создаст значительный риск для национальной или общественной безопасности, сроки раскрытия информации могут быть продлены при определенных обстоятельствах.

Своевременное раскрытие информации для повышения прозрачности

SEC раскрыла намерения принять эти новые правила в марте 2022 года больше, чем год назад, в марте 2021 года. Новые правила (PDF) предоставлять инвесторам своевременные уведомления об инцидентах безопасности, затрагивающих зарегистрированные на бирже компании, тем самым улучшая их понимание управления рисками и стратегии кибербезопасности.

Они требуют раскрытия следующей информации о нарушениях (если она была доступна на момент подачи формы 8-K):

  • Дата обнаружения инцидента и его текущий статус (действующий или разрешенный).
  • Краткое описание характера и масштаба инцидента.
  • Любая информация, которая была скомпрометирована, изменена, получена или использована без разрешения.
  • Влияние инцидента на деятельность компании.
  • Информация о текущих или завершенных инициативах компании по исправлению положения.
  iPhone 13 будет начинаться с 128 ГБ и предлагать до 1 ТБ
СПК
Более года назад, в марте 2021 года, SEC объявила о планах ввести эти новые правила в действие в марте 2022 года (Кредит изображения)

Однако ожидается, что затронутые компании не будут раскрывать технические детали своих планов реагирования на инциденты или информацию о потенциальных уязвимостях, которые могут повлиять на их действия по реагированию и устранению. По словам Лесли Риттера, старшего вице-президента Moody’s Investors Service, новые правила повысят прозрачность, но, вероятно, будут трудны для небольших компаний.

«Правила раскрытия информации о кибербезопасности, принятые ранее сегодня Комиссией по ценным бумагам и биржам США, обеспечат большую прозрачность в отношении непрозрачного, но растущего риска, а также большую согласованность и предсказуемость», — сказал Риттер BleepingComputer.

«Увеличение раскрытия информации должно помочь компаниям сравнивать методы и может стимулировать улучшение киберзащиты, но небольшим компаниям с меньшими ресурсами может быть труднее соответствовать новым стандартам раскрытия информации».

Рекомендуемое изображение: Скрыть.

Source: SEC требует своевременного раскрытия информации о кибератаках для публичных компаний