La Securities and Exchange Commission (SEC) ha adottato nuove regole che obbligano i registrati a divulgare incidenti significativi di sicurezza informatica e a fornire aggiornamenti annuali sulla gestione, strategia e governance dei rischi informatici. Questo requisito si applica anche agli emittenti privati stranieri. Il presidente della SEC, Gary Gensler, ha sottolineato l’importanza di una divulgazione coerente, confrontabile e utile per la decisione delle informazioni sulla sicurezza informatica sia per le aziende che per gli investitori.
Secondo le nuove regole, i registrati devono divulgare qualsiasi incidente materiale di sicurezza informatica nel nuovo punto 1.05 del modulo 8-K, dettagliando la natura, l’ambito, il momento dell’incidente e il suo impatto materiale o probabile. Questa divulgazione è generalmente dovuta quattro giorni lavorativi dopo che il registrato ha determinato la materialità dell’incidente. Tuttavia, la divulgazione immediata può essere ritardata se il Procuratore Generale degli Stati Uniti determina che comporterebbe un rischio sostanziale per la sicurezza nazionale o la sicurezza pubblica.
Inoltre, il nuovo punto 106 del Regolamento S-K richiede ai registrati di descrivere i loro processi per valutare, identificare e gestire i rischi materiali derivanti dalle minacce alla sicurezza informatica, gli effetti materiali di questi rischi e incidenti precedenti, e la supervisione del consiglio di amministrazione su questi rischi. Queste divulgazioni sono richieste nel rapporto annuale del registrato sul modulo 10-K.
Le regole entreranno in vigore 30 giorni dopo la pubblicazione del provvedimento di adozione nel Federal Register. Le divulgazioni del modulo 10-K e del modulo 20-F saranno dovute a partire dai rapporti annuali per gli esercizi finanziari che terminano il 15 dicembre 2023 o successivamente. Le divulgazioni del modulo 8-K e del modulo 6-K saranno dovute a partire dal più tardo tra 90 giorni dopo la data di pubblicazione nel Federal Register o il 18 dicembre 2023. Le piccole società di reporting avranno ulteriori 180 giorni prima di dover iniziare a fornire la divulgazione del modulo 8-K.
Source: sec.gov
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.