SEC одобрила порядок раскрытия эмитентами информации о киберинцидентах, смягчив ряд норм после обсуждения
Комиссия по ценным бумагам и биржам США (SEC) одобрила в окончательном варианте нормативный акт, обязывающий публичные компании раскрывать информацию о существенных киберинцидентах.
"Потеряла ли компания промышленный объект из-за пожара, или же миллионы записей о клиентах из-за проблем с информационной безопасностью, — это может быть существенным для инвесторов", — цитируются на сайте регулятора слова руководителя комиссии Гэри Генслера.
Согласно новым правилам, с которыми ознакомился "Интерфакс", публичные компании должны сообщать о кибератаках в течение четырех рабочих дней после того, как инцидент был признан существенным, направляя в SEC форму 8-K.
По итогам общественного обсуждения ряд положений документа были скорректированы в сторону смягчения.
Так, акцент при раскрытии информации смещен теперь в сторону последствий инцидента, а не его обстоятельств. Эксперты, комментируя первоначальный проект нормативного акта, обращали внимание на риски, связанные с публикацией сведений об информационных системах компании и способах их восстановления, так как такая информация может только помочь хакерам.
Компаниям предписывается описывать в годовых отчетах процесс идентификации киберрисков, а также как этими рисками управляет менеджмент компании, как их контролирует совет директоров.
Комиссия по итогам общественного обсуждения также отказалась от требования, чтобы компании сообщали об уровне имеющейся у членов советов директоров профессиональной экспертизы в области информационной безопасности.
В отдельных случаях компании могут получать отсрочку раскрытия информации на 30 дней, если ее обнародование может создать риски в сфере национальной или общественной безопасности.
Американские компании начнут исполнять новые требования SEC с середины декабря.