A Securities and Exchange Commission (SEC) dos EUA aprovou na quarta-feira, 26, novas regras que exigem que as empresas de capital aberto divulguem detalhes de um ataque cibernético dentro de quatro dias após a identificação de que ele tem um impacto "material" em suas finanças, marcando uma grande mudança na forma como o computador violações são divulgadas.
"Se uma empresa perde uma fábrica em um incêndio – ou milhões de arquivos em um incidente de segurança cibernética – pode ser importante para os investidores", disse o presidente da SEC, Gary Gensler . "Atualmente, muitas empresas públicas fornecem divulgação de segurança cibernética para investidores. Acho que empresas e investidores, no entanto, se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões".
Para esse fim, as novas obrigações exigem que as empresas revelem a natureza, o escopo e o momento do incidente, bem como seu impacto. Essa divulgação, no entanto, pode ser adiada por um período adicional de até 60 dias, caso seja determinado que forneça tais detalhes "possaria um risco substancial à segurança nacional ou pública".
Eles também exigem que os registrantes descrevam anualmente os métodos e estratégias usados ??para avaliar, identificar e gerenciar riscos materiais de ameaças de segurança cibernética, detalhar os efeitos materiais ou riscos resultantes desses eventos e compartilhar informações sobre remediação em andamento ou concluída.
Comentário
Amit Yoran, CEO da Tenable, comentou que "a nova regra da Comissão de Valores Mobiliários (SEC) sobre gerenciamento de riscos cibernéticos e divulgação de incidentes está certa. Por muito tempo, as maiores e mais poderosas empresas dos EUA trataram a segurança cibernética como algo bom de se ter, não obrigatório. Agora, está bastante claro que os líderes corporativos devem elevar a segurança cibernética em suas organizações".
"Quando as violações cibernéticas têm consequências na vida real e custos de reputação, os investidores devem ter o direito de saber sobre as atividades de gerenciamento de riscos cibernéticos de uma organização. Este é um passo gigante em direção a uma maior transparência e responsabilidade e melhorará muito nossa preparação para a segurança cibernética como nação", diz o executivo.
"De muitas maneiras, a regra da SEC regulará o que as empresas deveriam estar implementando em primeiro lugar: boa higiene cibernética. Exigir que as empresas forneçam atualizações anuais de sua estratégia e governança de gerenciamento de riscos de segurança cibernética e relatar violações materiais dentro de quatro dias úteis manterá os clientes e investidores mais bem informados sobre em quem eles confiam seus negócios", finalizou.