SEC одобрила порядок раскрытия эмитентами информации о киберинцидентах

Москва. 28 июля. INTERFAX.RU - Комиссия по ценным бумагам и биржам США (SEC) одобрила в окончательном варианте нормативный акт, обязывающий публичные компании раскрывать информацию о существенных киберинцидентах.

"Потеряла ли компания промышленный объект из-за пожара, или же миллионы записей о клиентах из-за проблем с информационной безопасностью, - это может быть существенным для инвесторов", - цитируются на сайте регулятора слова руководителя комиссии Гэри Генслера.

Согласно новым правилам, публичные компании должны сообщать о кибератаках в течение четырех рабочих дней после того, как инцидент был признан существенным, направляя в SEC форму 8-K.

По итогам общественного обсуждения ряд положений документа были скорректированы в сторону смягчения.

Так, акцент при раскрытии информации смещен теперь в сторону последствий инцидента, а не его обстоятельств. Эксперты, комментируя первоначальный проект нормативного акта, обращали внимание на риски, связанные с публикацией сведений об информационных системах компании и способах их восстановления, так как такая информация может только помочь хакерам.

Компаниям предписывается описывать в годовых отчетах процесс идентификации киберрисков, а также как этими рисками управляет менеджмент компании, как их контролирует совет директоров.

Комиссия по итогам общественного обсуждения также отказалась от требования, чтобы компании сообщали об уровне имеющейся у членов советов директоров профессиональной экспертизы в области информационной безопасности.

В отдельных случаях компании могут получать отсрочку раскрытия информации на 30 дней, если ее обнародование может создать риски в сфере национальной или общественной безопасности.

Американские компании начнут исполнять новые требования SEC с середины декабря.