SEC navrhuje povinné zverejňovanie informácií o kybernetickej bezpečnosti
The Americká komisia pre cenné papiere a burzu (SEC) navrhla 9. marca 2022 zmeny svojich pravidiel, ktorých cieľom je zlepšiť a štandardizovať zverejňovanie informácií verejnými spoločnosťami o kyber ochranaRiadenie rizík, stratégia, riadeniea hlásenie incidentov. Cieľom navrhovaných zmien a doplnení je informovať investorov o riadení rizík, stratégii a riadení registrujúceho a včas informovať investorov o závažných incidentoch kybernetickej bezpečnosti.
Oznámenie SEC zahŕňalo vyhlásenie predsedu SEC Garyho Genslera. Čiastočne povedal: „Kybernetická bezpečnosť je dnes vznikajúce riziko, s ktorým musia verejní emitenti čoraz viac zápasiť. Investori chcú vedieť viac o tom, ako emitenti riadia tieto rastúce riziká. Mnoho emitentov už poskytuje investorom informácie o kybernetickej bezpečnosti. Myslím si, že spoločnostiam aj investorom by prospelo, keby sa tieto informácie vyžadovali konzistentným, porovnateľným a rozhodovacím spôsobom."
Kľúčové poznatky
- SEC navrhla 9. marca 2022 nové pravidlá upravujúce zverejňovanie informácií súvisiacich s rizikami kybernetickej bezpečnosti.
- Zahŕňali by zverejnenia plánov riadenia rizík kybernetickej bezpečnosti a správy o skutočných incidentoch.
Podrobnosti o navrhovanom zverejnení informácií o kybernetickej bezpečnosti
Navrhované zmeny a doplnenia by si vyžadovali aktuálne hlásenie o závažných incidentoch kybernetickej bezpečnosti a pravidelné aktualizácie o predtým nahlásených incidentoch kybernetickej bezpečnosti. Tiež by si vyžadovali pravidelné podávanie správ o: politikách a postupoch registrujúceho, pokiaľ ide o identifikáciu a riadenie rizík kybernetickej bezpečnosti; ako sa má registrujúci predstavenstvo vykonáva dohľad nad rizikom kybernetickej bezpečnosti; ako manažment posudzuje a riadi riziko kybernetickej bezpečnosti; a ako manažment implementuje politiky a postupy kybernetickej bezpečnosti. Návrh by tiež vyžadoval ročné podávanie správ alebo určité prehlásenie o splnomocnení zverejnenia informácií o odbornosti v oblasti kybernetickej bezpečnosti, ak existujú, medzi členmi správnej rady registrujúceho.
Ďalšie komentáre predsedu SEC Garyho Genslera
Predseda SEC Gary Gensler vydal podrobné vyhlásenie o navrhovaných zmenách a doplneniach. Niektoré z jeho komentárov boli uvedené v tlačovej správe SEC, ako je uvedené vyššie. Ďalšie zvýraznenia sú uvedené nižšie.
„Od spoločností vyžadujeme zverejňovanie dôležitých informácií Veľká depresia. Základná dohoda je takáto: Investori sa musia rozhodnúť, aké riziká chcú podstúpiť. Spoločnosti, ktoré získavajú peniaze od verejnosti, majú povinnosť pravidelne zdieľať informácie s investormi.“
"V priebehu rokov sa náš režim zverejňovania vyvinul tak, aby odrážal vyvíjajúce sa riziká a potreby investorov."
„Vzájomná prepojenosť našich sietí, využívanie o prediktívna analýza údajova neukojiteľná túžba po údajoch sa len zrýchľuje, čím ohrozuje naše finančné účty, investície a súkromné informácie. Investori chcú vedieť viac o tom, ako emitenti riadia tieto rastúce riziká."
„K kybernetickej bezpečnosti dochádza, žiaľ, veľa. Môžu mať významný finančný, prevádzkový, právny a reputačný vplyv na verejných emitentov. Investori tak čoraz viac vyhľadávajú informácie o rizikách kybernetickej bezpečnosti, ktoré môžu ovplyvniť ich investičné rozhodnutia a výnosy.“
"Dnešné vydanie by zlepšilo zverejňovanie informácií o kybernetickej bezpečnosti emitentov dvoma kľúčovými spôsobmi."
"Po prvé, vyžadovalo by si to povinné a priebežné zverejňovanie informácií o správe a riadení spoločností, riadení rizík a stratégii s ohľadom na riziká kybernetickej bezpečnosti."
„Po druhé, vyžadovalo by si to povinné, materiálne nahlasovanie incidentov kybernetickej bezpečnosti. Je to dôležité, pretože takéto závažné incidenty kybernetickej bezpečnosti by mohli ovplyvniť rozhodovanie investorov.“
Nesúhlasné vyhlásenie komisárky SEC Hester M. Peirce
Komisárka SEC Hester M. Peirce vydal nesúhlasné stanovisko k navrhovaným zmenám. Hlavné body sú uvedené nižšie.
„Musíme zohrávať dôležitú úlohu pri zabezpečovaní toho, aby investori dostali informácie, ktoré potrebujú na pochopenie rizík kybernetickej bezpečnosti emitentov, ak sú významné. Tento návrh však koketuje s tým, že nás bude obsadzovať ako národné riadiace centrum pre kybernetickú bezpečnosť, čo je úloha, ktorú nám Kongres nepridelil."
„Naša úloha, pokiaľ ide o aktivity verejných spoločností, kybernetickú bezpečnosť alebo iné, je obmedzená. Komisia reguluje zverejňovanie verejných spoločností; neupravuje činnosť verejných obchodných spoločností.“
„Návrh, hoci je formulovaný v štandardnom jazyku zverejňovania, vedie spoločnosti vecnými, aj keď trochu jemnými spôsobmi. Po prvé, požiadavky na zverejnenie správy a riadenia stelesňujú bezprecedentný mikromanažment zo strany spoločnosti Komisia zloženia a fungovania predstavenstiev a riadenia verejnosti spoločnosti."
"Takéto presné požiadavky na zverejnenie vyzerajú skôr ako zoznam očakávaní o tom, ako by mali programy kybernetickej bezpečnosti emitentov vyzerať a ako by mali fungovať."
„Navrhované pravidlá, ktoré sú zamaskované ako požiadavka na zverejnenie, nútia spoločnosti, aby zvážili prispôsobenie svojich existujúcich politiky a postupy, ktoré sú v súlade s preferovaným prístupom Komisie, ktorý je obsiahnutý v ôsmich špecifických položkách zverejnenia.“
„Podstatu toho, ako spoločnosť riadi svoje riziko kybernetickej bezpečnosti, je však najlepšie ponechať na manažment spoločnosti, aby vzhľadom na jeho špecifické výzvy, s výhradou bŕzd a protiváh poskytnutých predstavenstvom a akcionári."
„Svetlým bodom návrhu sú pravidlá týkajúce sa nahlasovania kybernetických bezpečnostných incidentov. Nie som presvedčený, že pravidlá sú potrebné vzhľadom na to usmernenia Komisie z roku 2018, ktorá poskytla naše názory na povinnosti verejných spoločností zverejňovať informácie podľa existujúcich pravidiel. Napriek tomu sa zdá, že navrhované pravidlá poskytujú spoločnostiam rozumné usmernenia, ktorými sa môžu riadiť pri nahlasovaní závažných incidentov kybernetickej bezpečnosti.“
