SEC требует от компаний оперативно сообщать акционерам о киберинцидентах
01/08/2023
Новые правила Комиссии по ценным бумагам и биржам США (SEC) гласят: публичным компаниям надлежит сообщить о любом ИБ-инциденте в течение четырёх суток с момента его обнаружения. В форме 8-K — документе, через который американские юрлица информируют акционеров о значительных изменениях в компании — для этого появился отдельный пункт.
Оглашаемые сведения о произошедшем киберинциденте включают в себя «характер, масштаб и сроки», а также вероятное влияние события на организацию. Ведомство начнёт требовать раскрывать эти данные спустя 90 дней после публикации положения в Федеральном реестре или не позже 18 декабря. При этом обнародование информации разрешат отложить, если генпрокурор США решит, что оперативное сообщение «представляет существенный риск для национальной или общественной безопасности».
Также Комиссия подготовила изменения в форму 10-К, требующие от компаний предоставлять протоколы своих действий для оценки, выявления и управления ИБ-рисками. Эта норма начнёт действовать не ранее 15 декабря.