Nye SEC-regler setter en tidsbegrensning på rapportering av hacks og datainnbrudd
Offentlige selskaper vil nå måtte avsløre cybersikkerhetshendelser tidligere, takket være en regel vedtatt av Securities and Exchange Commission. I henhold til den nye policyen vil SEC kreve at offentlige selskaper rapporterer datainnbrudd og hacks fire virkedager etter at de er oppdaget.
Selskaper vil måtte avsløre eventuelle cybersikkerhetshendelser på en Form 8-K-fil. Disse offentlig tilgjengelige dokumentene informerer vanligvis aksjonærene om store endringer i selskapet – og nå vil de inkludere et nytt punkt 1.05 for cybersikkerhetshendelser. Offentliggjøringen bør inneholde informasjon om «art, omfang og tidspunkt», samt «dets vesentlige innvirkning eller rimelig sannsynlighet» på selskapet.
Det er imidlertid et unntak fra fire-dagers opplysningskravet. SEC sier at avsløringen kan bli forsinket hvis den amerikanske statsadvokaten fastslår at det å varsle aksjonærene om hendelsen “ville utgjøre en betydelig risiko for nasjonal sikkerhet eller offentlig sikkerhet.”
I tillegg laget SEC en ny forordning SK-artikkel 106 som vil bli inkludert i et selskaps årlige skjema 10-K-arkivering. Dette vil kreve at virksomheter beskriver prosessen deres “for å vurdere, identifisere og håndtere vesentlige risikoer fra cybersikkerhetstrusler.” Selskaper må også offentliggjøre ledelsens evne til å vurdere og håndtere vesentlige risikoer fra cyberangrep.
“Enten et selskap mister en fabrikk i en brann – eller millioner av filer i en cybersikkerhetshendelse – kan det være vesentlig for investorer,” sier SEC-leder Gary Gensler i en uttalelse. “For tiden gir mange offentlige selskaper informasjon om nettsikkerhet til investorer. Jeg tror imidlertid både selskaper og investorer ville ha fordel hvis denne avsløringen ble gjort på en mer konsistent, sammenlignbar og beslutningsnyttig måte.»
De siste månedene har flere selskaper blitt ofre for nettangrep, inkludert Roblox, T-Mobile og Google. Hundrevis av virksomheter har også blitt rammet av et nettangrep mot filoverføringsverktøyet MOVEit, og det antallet fortsetter å vokse etter hvert som flere selskaper melder seg.
SEC vil begynne å kreve at offentlige selskaper avslører datainnbrudd fra og med 90 dager etter publiseringsdatoen i Federal Register eller 18. desember 2023 – avhengig av hva som kommer senere. I mellomtiden vil selskaper måtte inkludere cybersikkerhetsprotokollene sine i skjema 10-K-innleveringer som starter i regnskapsåret som slutter på eller etter 15. desember 2023.
Forhåpentligvis betyr dette at vi snart vil kunne finne ut når dataene våre blir kompromittert mye raskere.