Комиссия по ценным бумагам и биржам (SEC) приняла новые правила, обязывающие регистрантов сообщать о значительных инцидентах в области кибербезопасности и ежегодно обновлять информацию о управлении рисками кибербезопасности, стратегии и управлении. Это требование также распространяется на иностранных частных эмитентов. Председатель SEC Гари Генслер подчеркнул важность последовательного, сопоставимого и полезного для принятия решений раскрытия информации о кибербезопасности как для компаний, так и для инвесторов.
Согласно новым правилам, регистранты обязаны раскрывать любой существенный инцидент кибербезопасности в новом пункте 1.05 Формы 8-K, описывая природу, объем, время и его существенное или вероятное существенное воздействие. Это раскрытие обычно должно быть выполнено в течение четырех рабочих дней после того, как регистрант определяет существенность инцидента. Однако немедленное раскрытие может быть отложено, если генеральный прокурор США определяет, что это представляет собой значительную угрозу для национальной безопасности или общественного порядка.
В дополнение к этому, новый пункт 106 Регулирования S-K требует, чтобы регистранты описывали свои процессы оценки, идентификации и управления материальными рисками от угроз кибербезопасности, материальные эффекты этих рисков и предыдущие инциденты, а также наблюдение совета директоров за этими рисками. Эти раскрытия требуются в ежегодном отчете регистранта в Форме 10-K.
Правила вступят в силу через 30 дней после публикации решения об их принятии в Федеральном реестре. Раскрытие информации в Формах 10-K и 20-F будет требоваться начиная с ежегодных отчетов за финансовые годы, заканчивающиеся 15 декабря 2023 года или позже. Раскрытие информации в Формах 8-K и 6-K будет требоваться начиная с более позднего срока из 90 дней после даты публикации в Федеральном реестре или 18 декабря 2023 года. Меньшим отчетным компаниям будет предоставлено дополнительное время в 180 дней перед тем, как они должны начать предоставлять информацию в Форме 8-K.
Source: sec.gov
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.