В статье на Forbes, озаглавленной “Cybersecurity Regulation Overview“, обсуждаются новые правила кибербезопасности, принятые Комиссией по ценным бумагам и биржам США (SEC), которые вступают в силу 15 декабря 2023 года. Эти правила в основном направлены на публичные компании, но также касаются некоторых частных компаний и должны быть на радаре всех организаций.
Основные положения новых правил включают:
- Обязательная отчетность о киберинцидентах: Публичные компании должны раскрывать информацию о значимых киберинцидентах в течение четырех рабочих дней в своих отчетах по форме 8-K. Это касается как внутренних, так и частных иностранных эмитентов.
- Раскрытие информации о управлении кибербезопасностью и рисках: Компании должны предоставлять сведения о надзоре своих советов директоров за кибербезопасностью в ежегодных отчетах по формам 10-K и 20-F.
- Компетенции совета директоров в области кибербезопасности: Хотя это и не является явным требованием, от компаний ожидается предоставление информации о кибербезопасных компетенциях членов совета директоров.
Влияние на частные компании:
- Частные компании также должны быть осведомлены об этих правилах, так как публичные компании полагаются на множество сторонних поставщиков, и кибератака на любого из этих поставщиков может иметь значительное влияние.
- SEC демонстрирует готовность применять регулирование кибербезопасности не только к публичным компаниям, как видно из недавних случаев с Covington & Burling и Monolith Resources.
Напоминания о соответствии:
- Кибербезопасность – это сложная и постоянно развивающаяся задача, требующая комплексного подхода. Компании могут предпринять ряд шагов, включая вовлечение старших заинтересованных сторон в создание политики кибербезопасности, регулярное обучение и тестирование сотрудников, инвестиции в готовность к киберустойчивости и реагированию, планирование на случай неизбежных кибератак, распространение политик кибербезопасности на всех сторонних поставщиков, проведение регулярных оценок рисков совета директоров и обновление обзоров политики.
Статья подчеркивает, что, хотя киберриски и регуляторные обязанности важны, они не должны затмевать основную ответственность совета директоров – способствовать здоровью и росту компании. Советы директоров должны обеспечить, что они уделяют достаточно времени и ресурсов стратегическому планированию, управлению рисками и контролю за выполнением.