カジノサイト

新しい SEC サイバーインシデント報告規則が発効

上場企業は今後、「重大な」サイバーインシデントを米国証券取引委員会 (SEC) に報告するのに 4 営業日以内になります。 SEC の新しい規則は次のとおりです。最初に承認されましたで、企業、専門家、その他の利害関係者が意見を表明できるコメント期間を経て、12 月 18 日に発効しました。

新しい規則では、サイバーセキュリティ イベント (データ侵害など) は、フォーム 8-K 提出書類の特定の項目で 96 時間以内に SEC に報告する必要があります。 8-K レポートには、財務的および運営上の影響を含むインシデントの性質、範囲、タイミング、重大な影響が含まれている必要があります。これにより、組織はレポート内のイベントの影響に焦点を当てることができます。

明確にしておきますが、侵害やその他の事件が発見されてから時計は動き始めるわけではありません。むしろ、インシデントが発見された当日にインシデントの重要性を判断できる可能性は低いことを考慮して、期限はインシデントが「重要」であると会社が判断した日から 4 日後に設定されています。.

7 月版の規則からの変更では、組織は修復の取り組みやステータス、データが侵害されたかどうかに関する詳細や情報を含める必要はありません。

最終セット投資家を保護することを目的としており、資本形成を促進する、aによるとSEC 企業財務部長エリック・ガーディングより。 「これらの規則は、上場企業とその投資家に重大な損失をもたらす可能性のある一連の重要なリスクについて、タイムリーで一貫性のある比較可能な情報を投資家に提供することになる。この開示は、投資家が投資や投票の意思決定を行う際にそれらのリスクを評価するのに役立つ可能性がある。」

新しい規則は、組織の情報を保管している可能性のあるサードパーティ システムの侵害も対象としています。

「この規制は組織にとって大きな変革を意味します。その多くは、新しいルールにより組織はより多くのリスクにさらされ、侵害を確認し、その影響を理解し、通知を調整するには 4 日では十分な時間ではないと主張しています。」.

に関する懸念に応えて十分な時間、TechCrunch によると、規則では 4 日間の期限に対していくつかの例外が設けられています。小規模な組織（年間収益が 1 億ドル未満の組織）は、サイバーセキュリティ イベントを SEC に開示する必要があるまでに 180 日間延長されます。事件を公表することで進行中の警察や法執行機関の捜査が妨げられる場合、大規模な組織には例外が認められる。

ガーディング氏によると、SECはまた、事件が公知になると「司法長官による書面による通知を条件として、国家安全保障または公共の安全に重大なリスクをもたらす可能性がある」場合、企業が事件の報告を遅らせることを許可する。ガーディング氏は、サイバーインシデントへの対応で組織が法執行機関やその他の機関と協力する意欲をそぐのではなく、「サイバーセキュリティインシデント発生後、できるだけ早くFBI、CISA、その他の法執行機関や国家安全保障機関と協力することを上場企業に奨励する」と述べた。

しかし、「この方法が頻繁に使用される可能性は低いです。」、を指しています(司法省) 12 月 12 日に発行。司法省のメモは、「多くの状況において、サイバーセキュリティ事件に関する関連情報の迅速な一般公開は、投資家、公共の安全、国家安全保障にとって全体的な利益をもたらす」と述べています。

サイバー インシデントへの対応と復旧について詳しくは、こちらをご覧ください。セキュリティ管理のコンテンツ コレクション今週初めの話題について。