ЗаконодательствоКибербезопасностьМировые

Обзор регулирования кибербезопасности: Новые вызовы и ответственность для компаний

Обзор регулирования кибербезопасности: Новые вызовы и ответственность для компаний

В статье на Forbes, озаглавленной “Cybersecurity Regulation Overview“, обсуждаются новые правила кибербезопасности, принятые Комиссией по ценным бумагам и биржам США (SEC), которые вступают в силу 15 декабря 2023 года. Эти правила в основном направлены на публичные компании, но также касаются некоторых частных компаний и должны быть на радаре всех организаций.

Основные положения новых правил включают:

  • Обязательная отчетность о киберинцидентах: Публичные компании должны раскрывать информацию о значимых киберинцидентах в течение четырех рабочих дней в своих отчетах по форме 8-K. Это касается как внутренних, так и частных иностранных эмитентов.
  • Раскрытие информации о управлении кибербезопасностью и рисках: Компании должны предоставлять сведения о надзоре своих советов директоров за кибербезопасностью в ежегодных отчетах по формам 10-K и 20-F.
  • Компетенции совета директоров в области кибербезопасности: Хотя это и не является явным требованием, от компаний ожидается предоставление информации о кибербезопасных компетенциях членов совета директоров.

Влияние на частные компании:

  • Частные компании также должны быть осведомлены об этих правилах, так как публичные компании полагаются на множество сторонних поставщиков, и кибератака на любого из этих поставщиков может иметь значительное влияние.
  • SEC демонстрирует готовность применять регулирование кибербезопасности не только к публичным компаниям, как видно из недавних случаев с Covington & Burling и Monolith Resources.

Напоминания о соответствии:

  • Кибербезопасность – это сложная и постоянно развивающаяся задача, требующая комплексного подхода. Компании могут предпринять ряд шагов, включая вовлечение старших заинтересованных сторон в создание политики кибербезопасности, регулярное обучение и тестирование сотрудников, инвестиции в готовность к киберустойчивости и реагированию, планирование на случай неизбежных кибератак, распространение политик кибербезопасности на всех сторонних поставщиков, проведение регулярных оценок рисков совета директоров и обновление обзоров политики.

Статья подчеркивает, что, хотя киберриски и регуляторные обязанности важны, они не должны затмевать основную ответственность совета директоров – способствовать здоровью и росту компании. Советы директоров должны обеспечить, что они уделяют достаточно времени и ресурсов стратегическому планированию, управлению рисками и контролю за выполнением.

admin
Author: admin

Hi, I’m admin