قوانین جدید افشای امنیت سایبری SEC: آنچه شما باید بدانید تا با آن مطابقت داشته باشید

شناسهٔ خبر: 437487 - تاریخ: سپتامبر 26, 2023

مشارکت کننده Cinthia Motley

Cinthia Motley مدیر گروه تمرین حفظ حریم خصوصی و امنیت اطلاعات جهانی Dykema است و همچنین رهبری گروه تمرین دادرسی تجاری دایکما را بر عهده دارد.

متیو هیس همکار

متیو هیز یک وکیل ارشد در Dykema و یک متخصص تایید شده حفظ حریم خصوصی اطلاعات برای ایالات متحده و کانادا است که به طور گسترده با قوانین فدرال، بخش‌ای و ایالتی ایالات متحده برای حفظ حریم خصوصی کار کرده است.

کمیسیون بورس و اوراق بهادار (SEC) با اتخاذ قوانین جدیدی که با هدف ارائه اطلاعات جامع و استاندارد شده در مورد مدیریت ریسک امنیت سایبری، استراتژی، حاکمیت و حوادث به سرمایه گذاران می باشد، گام مهمی در تقویت افشای امنیت سایبری برای شرکت های دولتی برداشته است.

این قوانین جدید که در ژوئیه ۲۰۲۳ به تصویب رسید، پس از یک فرآیند طولانی قوانین و اظهار نظر عمومی آمده است و به عنوان یک تشخیص رسمی عمل می کند که خطر همیشه موجود تهدیدات امنیت سایبری می تواند بر تصمیم گیری سرمایه گذاران تأثیر بگذارد.

بیشتر بخوانید

زندگی بدون گوشی هوشمند چه حسی دارد؟

دیگر اخبار

چگونه ژل مانیکور ضعیف می‌تواند باعث مشکلات سلامتی مادام‌العمر شود؟

نکات مهم: آنچه باید بدانید

نکته اصلی قوانین جدید SEC این است که شرکت ها موظفند هم رویدادهای امنیت سایبری با اهمیت و هم فرآیندهای مدیریت ریسک امنیت سایبری را به روشی استاندارد و بر اساس جدول زمانی مشخص گزارش کنند. به طور خاص:

افشای حوادث

قانون نهایی مستلزم افشای گزارش فعلی (مورد ۱.۰۵ در فرم ۸K یا ۶-K) در مدت چهار روز پس از حوادث امنیت سایبری «مادی» است که (۱) ماهیت، دامنه و زمان وقوع حادثه و (۲) تأثیر یا احتمال آن را توصیف می کند. تأثیر حادثه بر ثبت کننده، از جمله تأثیر مالی و عملیاتی.

افشای سالیانه

قانون نهایی مستلزم افشای گزارش‌های سالانه (فرم ۱۰-K یا ۲۰-F) است که (۱) فرآیند ثبت‌کننده برای شناسایی، ارزیابی و مدیریت ریسک‌های امنیت سایبری را شرح می‌دهد. (۲) خطرات ناشی از تهدیدات امنیت سایبری چگونه بر عملیات، استراتژی یا شرایط مالی کسب و کار تأثیر اساسی گذاشته یا احتمالاً به طور معقولی بر آن تأثیر می گذارد. (۳) نظارت هیئت مدیره ثبت کننده بر خطرات امنیت سایبری، و (۴) نقش مدیریت در ارزیابی و مدیریت خطرات ناشی از تهدیدات امنیت سایبری.

SEC از شرکت‌ها می‌خواهد که هم رویدادهای مهم امنیت سایبری و هم فرآیندهای مدیریت ریسک امنیت سایبری را به روشی استاندارد گزارش کنند.

مهلت ها

قانون نهایی در ۵ سپتامبر ۲۰۲۳ لازم الاجرا شد. افشای سالانه امنیت سایبری برای ثبت نام کنندگان با سال مالی از ۱۵ دسامبر ۲۰۲۳ و پس از آن ضروری است. تعهد افشای گزارش فعلی مورد ۱.۰۵ اندکی پس از آن در ۱۸ دسامبر ۲۰۲۳ آغاز می شود، اگرچه شرکت های گزارشگر کوچکتر تا ۱۵ ژوئن ۲۰۲۴ فرصت دارند. علاوه بر این، از تاریخ ۱۵ و ۱۸ دسامبر ۲۰۲۴، الزامات اضافی در مورد قالب بندی این سالانه و سالانه وجود دارد. افشای گزارش های فعلی، به ترتیب (یعنی قالب بندی این افشاها در Inline XBRL برای امکان جستجو و تجزیه و تحلیل خودکار).

جزئیات: آنچه قوانین می گویند

یک حادثه رخ داده است - چه چیزی باید افشا شود؟

قوانین جدید مستلزم افشای حوادث امنیت سایبری است که به عنوان "مادی" تعیین شده است (در ادامه در مورد آن بیشتر توضیح داده می شود) و همچنین ماهیت، دامنه، و زمان وقوع حادثه و تأثیر احتمالی منطقی این حادثه بر وضعیت مالی و عملیات ثبت کننده.

با این حال، برخلاف تکرارهای قبلی قانون پیش نویس، هیچ الزامی برای افشای اطلاعات خاص یا فنی در مورد واکنش برنامه ریزی شده ثبت کننده به حادثه یا آسیب پذیری های احتمالی سیستم های امنیت سایبری آن وجود ندارد.

چه زود باید افشاگری کرد؟

ظرف چهار روز کاری! فرصت چهار روزه برای افشای یک حادثه امنیت سایبری در یک پرونده عمومی ممکن است سخت به نظر برسد، و همینطور است، اما انعطاف پذیری بیشتری در پارامترهای قانون نهایی نسبت به آنچه آشکار است وجود دارد.

ساعت چهار روزه فقط از نقطه‌ای شروع می‌شود که ثبت‌کننده تشخیص داده باشد که یک حادثه امنیت سایبری «مادی» را تجربه کرده است، و تعیین اهمیت فقط باید «بدون تأخیر غیرمنطقی» انجام شود.

به همان اندازه که استاندارد ممکن است منعطف باشد، به یک ثبت‌کننده اجازه نمی‌دهد تا زمانی که حادثه به طور کامل اصلاح نشده است، تحقیقات را ادامه دهد تا گزارش‌دهی به تأخیر بیفتد. یک ثبت‌کننده باید افشای ۸-K را با اطلاعات موجود در آن زمان انجام دهد و سپس در صورت لزوم، از طریق اصلاحیه‌ای در مورد ۱.۰۵، افشاهای اصلی را تکمیل کند.

خبرکاو