SEC ehdottaa pakollisia kyberturvallisuusilmoituksia
The Yhdysvaltain arvopaperi- ja pörssikomitea (SEC) ehdotti 9. maaliskuuta 2022 sääntöihinsä muutoksia, joiden tarkoituksena on tehostaa ja standardoida julkisten yhtiöiden julkistamista KyberturvallisuusRiskienhallinta, strategia, hallintoaja tapahtumaraportointi. Ehdotetuilla muutoksilla pyritään tiedottamaan sijoittajille rekisteröijän riskienhallinnasta, strategiasta ja hallinnosta sekä tiedottamaan sijoittajille ajoissa olennaisista kyberturvallisuushäiriöistä.
SEC: n ilmoitus sisälsi SEC: n puheenjohtajan Gary Genslerin lausunnon. Hän sanoi osittain: "Kyberturvallisuus on nykyään nousemassa oleva riski, jonka kanssa julkisten liikkeeseenlaskijoiden on yhä enemmän taisteltava. Sijoittajat haluavat tietää enemmän siitä, kuinka liikkeeseenlaskijat hallitsevat näitä kasvavia riskejä. Monet liikkeeseenlaskijat tarjoavat jo kyberturvallisuustietoja sijoittajille. Uskon, että yritykset ja sijoittajat hyötyisivät, jos näitä tietoja vaadittaisiin johdonmukaisella, vertailukelpoisella ja päätöksentekoon hyödyllisellä tavalla."
Avaimet takeawayt
- SEC ehdotti 9.3.2022 uusia sääntöjä kyberturvallisuusriskeihin liittyvistä tiedoista.
- Niihin kuuluisivat sekä kyberturvallisuusriskien hallintasuunnitelmien tiedot että raportit todellisista vaaratilanteista.
Yksityiskohta ehdotetuista kyberturvallisuusilmoituksista
Ehdotetut muutokset edellyttäisivät ajankohtaista raportointia olennaisista kyberturvallisuushäiriöistä ja säännöllisiä päivityksiä aiemmin raportoiduista kyberturvallisuushäiriöistä. Ne edellyttäisivät myös säännöllistä raportointia seuraavista: rekisteröijän käytännöt ja menettelyt kyberturvallisuusriskien tunnistamisessa ja hallinnassa; kuinka rekisteröijällä menee yhtiön hallitus valvoo kyberturvallisuusriskejä; miten johto arvioi ja hallitsee kyberturvallisuusriskejä; ja kuinka johto toteuttaa kyberturvallisuuspolitiikkaa ja -menettelyjä. Ehdotus edellyttäisi myös vuosittaista raportointia tai tiettyjä valtakirjalausunto mahdolliset tiedot kyberturvallisuuden asiantuntemuksesta rekisteröijän hallituksen jäsenten kesken.
Muita kommentteja SEC: n puheenjohtajalta Gary Gensler
SEC: n puheenjohtaja Gary Gensler antoi yksityiskohtaisen lausunnon ehdotetuista muutoksista. Jotkut hänen kommenteistaan oli ote SEC: n lehdistötiedotteessa, kuten edellä lainattiin. Muita kohokohtia on esitetty alla.
"Olemme vaatineet yrityksiltä tärkeiden tietojen luovuttamista vuodesta lähtien Suuri lama. Perussopimus on tämä: Sijoittajat saavat päättää, mitä riskejä he haluavat ottaa. Yrityksillä, jotka keräävät rahaa yleisöltä, on velvollisuus jakaa tietoja sijoittajille säännöllisesti."
"Vuosien mittaan tiedonantojärjestelmämme on kehittynyt vastaamaan kehittyviä riskejä ja sijoittajien tarpeita."
"Verkostomme yhteenliitettävyys, käyttö ennustava data-analytiikka, ja kyltymätön tiedonhalu vain kiihtyy, mikä vaarantaa rahoitustilinämme, sijoituksemme ja yksityiset tietomme. Sijoittajat haluavat tietää enemmän siitä, kuinka liikkeeseenlaskijat hallitsevat näitä kasvavia riskejä."
"Kyberturvallisuustapahtumia tapahtuu valitettavasti paljon. Niillä voi olla merkittäviä taloudellisia, toiminnallisia, oikeudellisia ja mainevaikutuksia julkisiin liikkeeseenlaskijoihin. Siten sijoittajat etsivät yhä enemmän tietoa kyberturvallisuusriskeistä, jotka voivat vaikuttaa heidän sijoituspäätöksiinsä ja tuottoonsa."
"Tämänpäiväinen julkaisu tehostaisi liikkeeseenlaskijoiden kyberturvallisuustietoja kahdella keskeisellä tavalla."
"Ensinnäkin se edellyttäisi pakollisia, jatkuvaa julkistamista yritysten hallinnosta, riskienhallinnasta ja strategiasta kyberturvallisuusriskeihin liittyen."
"Toiseksi se edellyttäisi pakollista, olennaista kyberturvallisuushäiriöilmoitusta. Tämä on kriittistä, koska tällaiset merkittävät kyberturvallisuushäiriöt voivat vaikuttaa sijoittajien päätöksentekoon."
SEC: n komissaarin Hester M.:n eriävä lausunto. Peirce
SEC: n komissaari Hester M. Peirce antoi eriävän lausunnon ehdotetuista muutoksista. Kohokohdat on esitetty alla.
"Meillä on tärkeä rooli sen varmistamisessa, että sijoittajat saavat tiedot, joita he tarvitsevat ymmärtääkseen liikkeeseenlaskijoiden kyberturvallisuusriskit, jos ne ovat olennaisia. Tämä ehdotus kuitenkin flirttailee sen kanssa, että meidät asetetaan kansakunnan kyberturvallisuuden komentokeskukseksi, rooliin, jota kongressi ei antanut meille."
"Roolimme julkisten yhtiöiden toiminnassa, kyberturvallisuudessa tai muuten on rajallinen. Komissio säätelee julkisten yhtiöiden julkistamista; se ei säätele julkisten yhtiöiden toimintaa."
"Vaikka ehdotus on laadittu tavallisella ilmoituskielellä, se ohjaa yrityksiä sisällöllisillä, joskin hieman hienovaraisilla tavoilla. Ensinnäkin hallintoa koskevat tiedonantovaatimukset sisältävät ennennäkemättömän mikrohallinnon Toimikunta, joka vastaa sekä hallitusten että julkishallinnon kokoonpanosta ja toiminnasta yrityksiä."
"Tällaiset tarkat tiedonantovaatimukset näyttävät enemmänkin listalta odotuksista siitä, miltä liikkeeseenlaskijoiden kyberturvallisuusohjelmien tulisi näyttää ja miten niiden pitäisi toimia."
"Vaikka ehdotetut säännöt on peitetty julkistamisvaatimuksena, ne painostavat yrityksiä harkitsemaan nykyisten sääntöjensä mukauttamista politiikat ja menettelyt, jotka ovat komission suosiman lähestymistavan mukaisia, ja ne sisältyvät kahdeksaan erityiseen tiedonantokohtaan."
"Yrityksen kyberturvariskinsä hallinta on kuitenkin parasta jättää yrityksen johdon päätettäväksi. ottaa huomioon sen erityiset haasteet, jollei hallintoneuvoston ja johtokunnan tarjoamista tarkastuksista ja tasapainoista osakkeenomistajat."
"Ehdotuksen valopilkku ovat kyberturvallisuustapahtumien ilmoittamiseen liittyvät säännöt. En ole vakuuttunut siitä, että säännöt ovat välttämättömiä komission ohjeistus vuodelle 2018, joka esitti näkemyksemme julkisten yhtiöiden tiedonantovelvollisuuksista nykyisten sääntöjen mukaisesti. Ehdotetut säännöt näyttävät kuitenkin tarjoavan järkeviä opasteita yrityksille, joita seurata olennaisten kyberturvallisuustapahtumien raportoinnissa."
