SEC navrhuje povinné zveřejňování informací o kybernetické bezpečnosti
The US Securities and Exchange Commission (SEC) navrhla 9. března 2022 změny svých pravidel, které mají zlepšit a standardizovat zveřejňování informací veřejnými společnostmi ohledně kybernetická bezpečnostřízení rizik, strategie, vládnutía hlášení incidentů. Cílem navrhovaných změn je informovat investory o řízení rizik žadatele o registraci, jeho strategii a správě a včas informovat investory o závažných incidentech kybernetické bezpečnosti.
Oznámení SEC zahrnovalo prohlášení předsedy SEC Garyho Genslera. Částečně uvedl: „Kybernetická bezpečnost je dnes nově vznikajícím rizikem, se kterým se veřejní emitenti musí stále více potýkat. Investoři chtějí vědět více o tom, jak emitenti řídí tato rostoucí rizika. Mnoho emitentů již poskytuje investorům informace o kybernetické bezpečnosti. Myslím, že společnostem i investorům by prospělo, kdyby tyto informace byly vyžadovány konzistentním, srovnatelným a užitečným způsobem pro rozhodování.“
Klíčové věci
- SEC navrhla 9. března 2022 nová pravidla upravující zveřejňování související s riziky kybernetické bezpečnosti.
- Zahrnovaly by jak zveřejnění plánů řízení rizik kybernetické bezpečnosti, tak zprávy o skutečných incidentech.
Podrobnosti o navrhovaném zveřejnění informací o kybernetické bezpečnosti
Navrhované změny by vyžadovaly aktuální hlášení o závažných kybernetických bezpečnostních incidentech a pravidelné aktualizace dříve hlášených kybernetických bezpečnostních incidentů. Rovněž by vyžadovaly pravidelné podávání zpráv o: zásadách a postupech žadatele o registraci ohledně identifikace a řízení rizik kybernetické bezpečnosti; jak se má registrující představenstvo vykonává dohled nad riziky kybernetické bezpečnosti; jak vedení posuzuje a řídí kybernetická bezpečnostní rizika; a jak vedení zavádí zásady a postupy kybernetické bezpečnosti. Návrh by také vyžadoval každoroční podávání zpráv nebo určité prohlášení o plné moci zveřejnění informací o odborných znalostech v oblasti kybernetické bezpečnosti, pokud existují, mezi členy správní rady žadatele o registraci.
Další komentáře předsedy SEC Garyho Genslera
Předseda SEC Gary Gensler vydal podrobné prohlášení k navrhovaným změnám. Některé z jeho komentářů byly uvedeny v tiskové zprávě SEC, jak je uvedeno výše. Další přednosti jsou uvedeny níže.
„Od společností vyžadujeme zveřejňování důležitých informací od roku Velká deprese. Základní smlouva je následující: Investoři se mohou rozhodnout, jaká rizika chtějí podstoupit. Společnosti, které získávají peníze od veřejnosti, mají povinnost pravidelně sdílet informace s investory.“
"V průběhu let se náš režim zveřejňování vyvíjel tak, aby odrážel vyvíjející se rizika a potřeby investorů."
„Propojenost našich sítí, využití prediktivní analytika data neukojitelná touha po datech se jen zrychluje a ohrožuje naše finanční účty, investice a soukromé informace. Investoři chtějí vědět více o tom, jak emitenti řídí tato rostoucí rizika.“
„K kybernetickým bezpečnostním incidentům bohužel dochází hodně. Mohou mít významný finanční, provozní, právní a reputační dopad na veřejné emitenty. Investoři tak stále více vyhledávají informace o kyberbezpečnostních rizicích, která mohou ovlivnit jejich investiční rozhodnutí a výnosy.“
"Dnešní vydání by zlepšilo zveřejňování kybernetické bezpečnosti emitentů dvěma klíčovými způsoby."
"Zaprvé by to vyžadovalo povinné průběžné zveřejňování informací o správě a řízení společností, řízení rizik a strategii s ohledem na rizika kybernetické bezpečnosti."
„Zadruhé by to vyžadovalo povinné, podstatné hlášení incidentů kybernetické bezpečnosti. To je zásadní, protože takové závažné incidenty kybernetické bezpečnosti by mohly ovlivnit rozhodování investorů.“
Nesouhlasné prohlášení komisařky SEC Hester M. Peirce
Komisařka SEC Hester M. Peirce vydal nesouhlasné prohlášení k navrhovaným změnám. Nejdůležitější jsou uvedeny níže.
„Musíme hrát důležitou roli při zajišťování toho, aby investoři dostali informace, které potřebují k pochopení rizik kybernetické bezpečnosti emitentů, pokud jsou významná. Tento návrh však koketuje s tím, aby nás obsadil jako národní velitelské centrum kybernetické bezpečnosti, což je role, kterou nám Kongres nepřidělil."
„Naše role, pokud jde o aktivity veřejných společností, kybernetickou bezpečnost nebo jiné, je omezená. Komise reguluje zveřejňování veřejných společností; neupravuje činnost veřejných obchodních společností.“
„Návrh, i když je formulován standardním jazykem zveřejňování, vede společnosti věcnými, i když poněkud jemnými způsoby. Za prvé, požadavky na zveřejnění správy a řízení ztělesňují bezprecedentní mikromanagement ze strany společnosti Komise složení a fungování jak představenstev, tak řízení veřejnosti společnosti."
"Takové přesné požadavky na zveřejnění vypadají spíše jako seznam očekávání ohledně toho, jak by měly programy kybernetické bezpečnosti emitentů vypadat a jak by měly fungovat."
„Navrhovaná pravidla jsou sice maskována jako požadavek na zveřejnění, ale tlačí společnosti, aby zvážily přizpůsobení svých stávajících politiky a postupy, aby odpovídaly preferovanému přístupu Komise, který je ztělesněn v osmi konkrétních zveřejňovaných položkách.“
„Podstatu toho, jak společnost řídí svá kybernetická bezpečnostní rizika, je však nejlepší ponechat na vedení společnosti. s ohledem na jeho specifické problémy, s výhradou kontrol a protivah stanovených představenstvem a akcionáři."
„Světlým bodem návrhu jsou pravidla týkající se hlášení kybernetických bezpečnostních incidentů. Nejsem přesvědčen, že pravidla jsou s ohledem na to nezbytná pokyny Komise z roku 2018, která poskytla naše názory na povinnosti veřejných společností zveřejňovat informace podle stávajících pravidel. Zdá se však, že navrhovaná pravidla poskytují společnostem rozumná vodítka, kterými se mohou řídit při hlášení závažných incidentů kybernetické bezpečnosti.“