Комиссия по ценным бумагам и биржам США (SEC) объявила о задержке в завершении разработки предложенных правил кибербезопасности. Ожидается, что два различных набора правил, один для публичных компаний и регулируемых организаций, а другой для инвестиционных консультантов, зарегистрированных инвестиционных компаний и компаний по развитию бизнеса, будут отложены как минимум до октября 2023 года. Эта задержка вызвала вопросы о сроках и возможных факторах, влияющих на затянувшийся процесс.
Несмотря на первоначальную цель завершить разработку правил к апрелю 2023 года, SEC перенесла сроки. Причины задержки остаются неясными, но текущие дебаты и дискуссии относительно конкретных особенностей правил могут быть способствующими факторами. Эти обсуждения могут включать в себя решение проблем, поднятых ФБР и другими заинтересованными сторонами, обеспечение сбалансированного подхода, который уважает потребности правоохранительных органов и одновременно способствует прозрачности и подотчетности, укрепляя отрасль.
Расширенное раскрытие информации и ответственность
Предлагаемые правила раскрытия информации о кибербезопасности направлены на повышение прозрачности и подотчетности в работе публичных компаний с инцидентами, связанными с кибербезопасностью. Председатель SEC Гэри Генслер заявил, что "кибербезопасность - это новый риск, с которым все чаще приходится сталкиваться публичным эмитентам. Инвесторы хотят знать больше о том, как эмитенты управляют этими растущими рисками".
Хотя Генслер понимает, что многие компании уже предоставляют такую информацию, его поддержка обусловлена тем, что, по его мнению, "и компании, и инвесторы только выиграют, если эта информация будет требоваться в последовательной, сопоставимой и полезной для принятия решений форме". Впервые опубликованные в марте 2022 года для публичных комментариев, правила в основном направлены на усиление требований кибербезопасности для публичных компаний, включая:
четырехдневный срок раскрытия информации о "существенных" инцидентах кибербезопасности;
требования к управлению кибербезопасностью со стороны совета директоров;
расширенное раскрытие информации об опыте Совета директоров в области кибербезопасности;
расширенное раскрытие информации об управлении рисками, надзоре и кибербезопасности;
требования по агрегированию инцидентов, которые по отдельности не являются существенными.
Обязательным будет и постоянное раскрытие информации об управлении кибербезопасностью, управлении рисками и стратегии. Тем не менее, были высказаны опасения по поводу возможного компрометации расследований правоохранительных органов в связи с требуемыми сроками отчетности.
В дополнение к правилам раскрытия информации о кибербезопасности для публичных компаний, SEC также предложила правила управления рисками кибербезопасности в инвестиционной отрасли. Инвестиционные консультанты, зарегистрированные инвестиционные компании и компании по развитию бизнеса должны будут принять и внедрить письменные политики и процедуры по кибербезопасности. Также потребуется сообщать в SEC о значительных инцидентах, связанных с кибербезопасностью, и вести надлежащую документацию.
Требование к инвесторам и другим ключевым финансовым заинтересованным сторонам понимать ценность и поддерживать более высокий уровень кибербезопасности создаст нисходящую структуру стимулов, которая может оказать большое влияние на улучшение практики в масштабах всей отрасли.
Решение проблем и движение вперед
Отсрочка принятия правил SEC по кибербезопасности свидетельствует о сложности решения проблем кибербезопасности и баланса между требованиями к отчетности и потенциальными последствиями для правоохранительных органов. Заинтересованные стороны в публичных компаниях и регулируемых организациях должны сохранять проактивность, поддерживать эффективную практику кибербезопасности и внимательно следить за обновлениями от SEC. Кроме того, SEC необходимо учесть опасения, высказанные ФБР и другими заинтересованными сторонами, и убедиться, что окончательно утвержденные правила содержат четкие и практические рекомендации по эффективному управлению рисками кибербезопасности.
Было заявлено, что ФБР обеспокоено правилом 4-дневного раскрытия информации. В его нынешнем виде компании будут вынуждены раскрывать информацию об инцидентах, даже если правоохранительные органы ведут активное расследование. Обеспокоенность ФБР по поводу потенциального компрометации расследований правоохранительных органов в предлагаемых правилах должна быть учтена. SEC должна учесть эти опасения при доработке правил, чтобы найти баланс между требованиями к отчетности и целостностью текущих расследований.
Способствуя сотрудничеству и внедрению всеобъемлющих руководящих принципов, SEC может повысить устойчивость организаций к эволюционирующим киберугрозам. Требуя от инвесторов и ключевых финансовых заинтересованных сторон более серьезного отношения к конфиденциальности и безопасности, мы, вероятно, увидим значительные изменения в масштабах всей отрасли. Предоставив четкие рамки, SEC может дать заинтересованным сторонам возможность разработать комплексные стратегии кибербезопасности в соответствии с передовой практикой отрасли.
