SEC predlaže obvezna otkrivanja kibernetičke sigurnosti
The Komisija za vrijednosne papire i burzu SAD-a (SEC) predložio je 9. ožujka 2022. izmjene i dopune svojih pravila kojima je cilj poboljšati i standardizirati objave javnih poduzeća o kibernetička sigurnostUpravljanje rizicima, strategija, upravljanje, i izvještavanje o incidentima. Cilj predloženih izmjena je informirati ulagače o upravljanju rizikom, strategijom i upravljanjem podnositelja registracije te pravodobno obavijestiti ulagače o značajnim incidentima u kibernetičkoj sigurnosti.
SEC-ova objava uključivala je izjavu predsjednika SEC-a Garyja Genslera. Djelomično je rekao: „Danas je kibernetička sigurnost sve veći rizik s kojim se javni izdavatelji sve više moraju boriti. Ulagači žele znati više o tome kako izdavatelji upravljaju tim rastućim rizicima. Mnogi izdavatelji već osiguravaju otkrivanje kibernetičke sigurnosti ulagačima. Mislim da bi i tvrtke i investitori imali koristi kada bi se ove informacije zahtijevale na dosljedan, usporediv i koristan način za odlučivanje."
Ključni za poneti
- SEC je 9. ožujka 2022. predložio nova pravila koja reguliraju otkrivanje podataka vezanih uz kibersigurnosne rizike.
- Oni bi uključivali obje objave planova upravljanja rizikom kibernetičke sigurnosti i izvješća o stvarnim incidentima.
Pojedinosti o predloženim objavama o kibernetičkoj sigurnosti
Predložene izmjene zahtijevale bi tekuće izvješćivanje o materijalnim incidentima kibernetičke sigurnosti i periodična ažuriranja o prethodno prijavljenim incidentima kibernetičke sigurnosti. Također bi zahtijevali periodično izvješćivanje o: politikama i postupcima podnositelja registracije u vezi s identificiranjem i upravljanjem rizicima kibernetičke sigurnosti; kako je registrant Upravni odbor vrši nadzor nad rizikom kibernetičke sigurnosti; kako menadžment procjenjuje i upravlja rizikom kibernetičke sigurnosti; i kako menadžment provodi politike i procedure kibernetičke sigurnosti. Prijedlog bi također zahtijevao godišnje izvješćivanje ili izvjesno proxy izjava otkrivanja o stručnosti kibernetičke sigurnosti, ako postoji, među članovima upravnog odbora registranta.
Dodatni komentari predsjednika SEC-a Garyja Genslera
Predsjednik DIP-a Gary Gensler dao je detaljno priopćenje o predloženim amandmanima. Neki od njegovih komentara izneseni su u priopćenju za javnost DIP-a, kao što je gore citirano. Dodatni naglasci prikazani su u nastavku.
“Zahtijevamo otkrivanje važnih informacija od tvrtki od Velika depresija. Osnovna pogodba je sljedeća: investitori mogu odlučiti koje rizike žele preuzeti. Tvrtke koje prikupljaju novac od javnosti imaju obvezu redovitog dijeljenja informacija s investitorima."
"Tijekom godina, naš režim otkrivanja podataka evoluirao je kako bi odražavao rastuće rizike i potrebe investitora."
„Međusobna povezanost naših mreža, korištenje prediktivna analitika podataka, a nezasitna želja za podacima samo se ubrzava, dovodeći naše financijske račune, ulaganja i privatne informacije u opasnost. Ulagači žele znati više o tome kako izdavatelji upravljaju tim rastućim rizicima."
“Incidenata kibernetičke sigurnosti, nažalost, ima dosta. Oni mogu imati značajan financijski, operativni, pravni i reputacijski utjecaj na javne izdavatelje. Stoga investitori sve više traže informacije o rizicima kibernetičke sigurnosti, koji mogu utjecati na njihove investicijske odluke i povrate."
"Današnje izdanje poboljšalo bi otkrivanje kibernetičke sigurnosti izdavatelja na dva ključna načina."
"Prvo, to bi zahtijevalo obvezna, stalna objava o upravljanju poduzeća, upravljanju rizicima i strategiji s obzirom na rizike kibernetičke sigurnosti."
“Drugo, to bi zahtijevalo obvezno, materijalno izvješćivanje o incidentima u kibernetičkoj sigurnosti. To je ključno jer takvi materijalni incidenti u vezi s kibernetičkom sigurnošću mogu utjecati na donošenje odluka investitora."
Izjava o suprotnom mišljenju povjerenice SEC-a Hester M. Peirce
Povjerenica SEC-a Hester M. Peirce je dao suprotnu izjavu o predloženim amandmanima. Najvažnije su predstavljene u nastavku.
„Imamo važnu ulogu u osiguravanju da ulagači dobiju informacije koje su im potrebne da razumiju rizike kibernetičke sigurnosti izdavatelja ako su materijalni. Ovaj prijedlog, međutim, koketira s postavljanjem nas kao nacionalnog zapovjednog centra za kibernetičku sigurnost, ulogu koju nam Kongres nije dao."
“Naša uloga u pogledu aktivnosti javnih poduzeća, kibernetičke sigurnosti ili nečega, ograničena je. Povjerenstvo regulira objavljivanje podataka javnih poduzeća; ne regulira djelatnost javnih poduzeća."
„Prijedlog, iako je sastavljen standardnim jezikom otkrivanja podataka, vodi tvrtke na suštinske, iako pomalo suptilne načine. Prvo, zahtjevi za objavom upravljanja utjelovljuju mikroupravljanje bez presedana od strane Komisija za sastav i rad upravnih odbora i uprave javnosti tvrtke."
"Takvi precizni zahtjevi za otkrivanjem više izgledaju kao popis očekivanja o tome kako bi trebali izgledati programi kibernetičke sigurnosti izdavatelja i kako bi trebali funkcionirati."
"Iako su prikriveni kao zahtjev za otkrivanje podataka, predložena pravila vrše pritisak na tvrtke da razmotre prilagodbu svojih postojećih politike i procedure u skladu s preferiranim pristupom Komisije, utjelovljenim u osam specifičnih stavki otkrivanja."
"Međutim, najbolje je prepustiti upravi tvrtke da utvrdi kako tvrtka upravlja svojim rizikom kibernetičke sigurnosti s obzirom na svoje specifične izazove, podložno provjerama i ravnotežama koje osigurava upravni odbor i dioničari."
“Svjetla točka prijedloga su pravila koja se odnose na prijavljivanje incidenata kibernetičke sigurnosti. Nisam uvjeren da su pravila neophodna u svjetlu smjernice Komisije iz 2018, koji je dao naše stavove o obvezama javnih poduzeća prema postojećim pravilima. Ipak, čini se da predložena pravila pružaju razumne smjernice za tvrtke koje treba slijediti u prijavljivanju materijalnih incidenata kibernetičke sigurnosti."