Комиссия по ценным бумагам и биржам США (SEC) приняла новое правило, согласно которому публичные компании должны будут гораздо раньше сообщать об инцидентах, связанных с кибербезопасностью.

Согласно этому правилу, компании должны сообщать об утечках данных и взломах в течение четырех рабочих дней после их обнаружения.

Информация должна содержать подробные сведения о характере, масштабах и сроках инцидента, а также о его потенциальных последствиях для компании. Однако существует исключение из требования о раскрытии информации в течение четырех дней в случаях, когда оповещение акционеров может представлять существенный риск для национальной или общественной безопасности.

SEC также ввела новый пункт 106 Положения S-K, который компании должны будут включать в свою ежегодную форму 10-K. В нем компании должны описать процесс оценки, выявления и управления существенными рисками, связанными с угрозами кибербезопасности, а также свои возможности по противодействию кибератакам.

Источник: Ferra