
Nardymo trumpas:
- Vertybinių popierių ir biržų komisijos praėjusiais metais priimti pranešimo apie kibernetinio saugumo pažeidimus reikalavimai nėra skirti savanoriškai atskleisti „nereikšmingus“ incidentus, vyresnysis agentūros pareigūnas sakoma neseniai paskelbtame pareiškime.
- Taisyklėse reikalaujama, kad viešosios įmonės praneštų apie „esminį“ kibernetinio saugumo incidentą SEC, naudodamos 1.05 8-K formą, per keturias dienas po to, kai buvo nustatyta, kad pažeidimas yra esminis. Nors savanoriškas 1.05 punkto pateikimas nėra aiškiai uždraustas, jie gali suklaidinti investuotojus, pranešime teigė Erikas Gerdingas, SEC Korporacijų finansų skyriaus direktorius.
- “[I]Jei visi kibernetinio saugumo incidentai yra atskleisti pagal 1.05 punktą, tada yra rizika, kad investuotojai neteisingai supras nereikšmingus kibernetinio saugumo incidentus kaip esminius ir atvirkščiai“, – sakė jis.
Nardymo įžvalga:
Gerdingo pareiškimas greičiausiai atspindi Įmonių finansų skyriaus susirūpinimą dėl incidentų atskleidimo pagal naujas SEC taisykles nuo tada, kai agentūra pradėjo jas vykdyti praėjusį gruodį, teigiama tinklaraščio įraše, kurį paskelbė įstatymas įmonė Wiley Rein LLP.
„Mūsų viešų paraiškų peržiūra rodo tam tikrą duomenų teikėjų atsargumą, kai kurios įmonės teikia paraiškas pagal 1.05 punktą, kur nėra aišku, ar incidentas yra reikšmingas“, – rašoma tinklaraščio įraše. „Vietoj to, pareiškėjai, atrodo, yra motyvuoti pateikti dokumentus labai atsargiai, nenusprendę dėl reikšmingumo.
Pagal SEC taisykles, įmonės turi nustatyti medžiagiškumas apie incidentą „nepagrįstai nedelsdami po aptikimo ir, jei įvykis laikomas reikšmingu, pateikite 1.05 punkto 8-K formą paprastai per keturias darbo dienas nuo tokio nustatymo“.
Atskleidime turi būti aprašyti esminiai incidento pobūdžio, apimties ir laiko aspektai, taip pat jo „esminis poveikis arba pagrįstai tikėtinas reikšmingas poveikis“.
Jei įmonė nusprendžia atskleisti pažeidimą, dėl kurio ji dar nenustatė reikšmingumo, arba pažeidimą, kuris buvo pripažintas nereikšmingu, Korporacijos finansų skyrius ragina bendrovę atskleisti tą incidentą pagal kitą 8-K formos punktą. , pavyzdžiui, 8.01 punktas, sakė Gerdingas.
„Pripažįstu tokio savanoriško atskleidimo vertę investuotojams, rinkai ir galiausiai įmonėms, ir šiuo pareiškimu nesiekiama atgrasyti įmonių nuo tokio atskleidimo“, – sakė jis. „Šiuo pareiškimu greičiau siekiama paskatinti teikti tokią savanorišką informaciją tokiu būdu, kuris nesukeltų investuotojų painiavos ir nesumažėtų 1.05 punkte pateiktos informacijos apie reikšmingus kibernetinio saugumo incidentus vertės.
Jei įmonė atskleidžia nereikšmingą incidentą pagal 8.01 punktą ir vėliau nustato, kad incidentas yra reikšmingas, ji turėtų pateikti 1.05 punkto 8-K formą per keturias darbo dienas nuo tokio vėlesnio reikšmingumo nustatymo, teigiama pareiškime.
Nuo gruodžio 18 d. visi subjektai, kuriems taikoma informacija, išskyrus smulkesnes ataskaitas teikiančias įmones, turėjo laikytis naujų įsipareigojimų atskleisti pažeidimus. Mažesnėms ataskaitas teikiančioms įmonėms jos bus taikomos nuo birželio 5 d.
Sausį, „Microsoft“ atskleidė 1.05 punkto 8-K formoje, kurioje teigiama, kad „su nacionaline valstybe susijęs grėsmės veikėjas“ gavo prieigą prie „labai mažos procentinės dalies“ darbuotojų el. pašto paskyrų, įskaitant įmonės vadovų komandos narius ir kibernetinio saugumo darbuotojus, ir išfiltravo informaciją iš jos , teisines ir kitas funkcijas.
„Šio paraiškos pateikimo datos incidentas neturėjo esminės įtakos bendrovės veiklai“, – pranešime teigė Redmonde, Vašingtone įsikūrusi technologijų milžinė. „Bendrovė dar nenustatė, ar pagrįstai tikėtina, kad incidentas turės reikšmingos įtakos Bendrovės finansinei būklei ar veiklos rezultatams.
HP įmonė ir Rizikos ribojimo finansinis yra tarp įmonių, kurios naudojo panašią kalbą atskleisdamos informaciją apie pažeidimus, pateiktus SEC pagal naujas kibernetinio saugumo taisykles.
„Microsoft“ pranešė apie savo pažeidimą SEC, nors bendrovės tyrimas, kai buvo pateiktas reglamentas, neatskleidė nuosėdų, kurios atitiko agentūros reikšmingo poveikio slenkstį. sausio mėnesį pranešė „Wall Street Journal“.. „Tačiau kadangi įstatymas yra toks naujas, norėjome įsitikinti, kad gerbiame įstatymo dvasią“, – rašoma „Journal“ pranešime.