Veřejné společnosti nyní budou muset odhalovat kybernetické bezpečnostní incidenty dříve, a to díky pravidlu přijatému Komisí pro cenné papíry a burzy. Podle nové politiky bude SEC vyžadovat, aby veřejné společnosti hlásily narušení dat a hackování čtyři pracovní dny poté, co byly odhaleny.
Společnosti budou muset zveřejnit jakékoli kybernetické bezpečnostní incidenty na formuláři 8-K. Tyto veřejně dostupné dokumenty obvykle informují akcionáře o hlavních změnách ve společnosti – a nyní budou obsahovat nový bod 1.05 pro kybernetické bezpečnostní incidenty. Zveřejnění by mělo zahrnovat informace o „povaze, rozsahu a načasování“ a také o „jeho podstatném dopadu nebo přiměřeně pravděpodobném“ na společnost.
Existuje však výjimka z požadavku čtyřdenního zveřejnění. SEC říká, že zveřejnění může být odloženo, pokud americký generální prokurátor rozhodne, že upozornění akcionářů na incident „by představovalo značné riziko pro národní bezpečnost nebo veřejnou bezpečnost“.
Kromě toho SEC vytvořila nové nařízení SK Bod 106, které bude zahrnuto do každoročního formuláře 10-K společnosti. To bude vyžadovat, aby podniky popsaly svůj proces „vyhodnocování, identifikace a řízení závažných rizik plynoucích z kybernetických bezpečnostních hrozeb“. Společnosti musí také zveřejnit schopnost svého vedení hodnotit a řídit podstatná rizika kybernetických útoků.
„Ať už společnost ztratí továrnu při požáru – nebo miliony souborů při kybernetickém bezpečnostním incidentu – může to být pro investory podstatné,“ uvedl v prohlášení předseda SEC Gary Gensler. „V současné době mnoho veřejných společností poskytuje investorům informace o kybernetické bezpečnosti. Myslím si však, že společnostem i investorům by prospělo, kdyby toto zveřejnění bylo provedeno konzistentnějším, srovnatelnějším a pro rozhodování užitečnějším způsobem.“
V posledních měsících se obětí kybernetických útoků stalo několik společností, včetně Roblox, T-Mobile a Google. Stovky podniků byly také zasaženy kybernetickým útokem na nástroj pro přenos souborů MOVEit a toto číslo stále roste, jak se hlásí stále více společností.
SEC začne vyžadovat, aby veřejné společnosti zveřejňovaly narušení dat po 90 dnech od data zveřejnění ve federálním rejstříku nebo 18. prosince 2023 – podle toho, co nastane později. Mezitím budou společnosti muset zahrnout své protokoly kybernetické bezpečnosti do formulářů 10-K počínaje fiskálním rokem končícím 15. prosince 2023 nebo později.
Doufejme, že to brzy znamená, že se budeme moci naučit, kdy jsou naše data kompromitována, mnohem rychleji.