רשות נירות ערך בארצות-הברית (Securities and Exchange Commission - SEC) פירסמה להערות הציבור טיוטת תקנות חדשות לדיווחים על סיכוני סייבר לחברות ציבוריות הנסחרות בבורסה. התקנות החדשות נועדו לקבוע מסגרת אחידה יותר לדיווחים תקופתיים ומיידיים למשקיעים על אודות סיכוני סייבר ואירועי סייבר, לפי אמות-מידה פרטיקולריות שיאפשרו למשקיעים לערוך השוואה בנושא זה בין חברות ציבוריות.
החידושים בתקנות המוצעות כוללים -
- עדכון טופס הדיווח המיידי לבורסה כך שיידרש דיווח על אירוע סייבר מהותי בתאגיד בתוך ארבעה ימים לאחר שהתאגיד התגבש בדעתו כי התרחש אירוע סייבר מהותי. רשות ני"ע בארה"ב מציינת כי היא התרשמה שקיימת כיום פרקטיקה של תת-דיווח על אירועי סייבר מהותיים ושל דיווח מאוחר מדי. הדיווח לפי התקנות המוצעות יכלול מידע על מועד גילוי האירוע, משכו, תיאור היקף ומהות האירוע, הסבר האם מידע נגנב, עבר שינוי, נחשף או נעשה בו שימוש בלתי מורשה, השפעת האירוע על פעילות התאגיד, והסבר אם התאגיד פתר את האירוע.
- שילוב עדכונים על התפתחויות באירועי סייבר שהתרחשו ודווחו כדיווח מידי בעבר, במסגרת דיווחים תקופתיים (רבעוניים ושנתיים).
- מסירת מידע במסגרת דיווחים תקופתיים על אודות מדיניות התאגיד ונהליו בזיהוי והתמודדות עם סיכוני סייבר.
- מסירת מידע על הפיקוח שמבצע דירקטוריון התאגיד בנושא ניהול סיכוני סייבר, התפקיד שנוטלת הנהלת התאגיד בנושא זה והמומחיות הקיימת בנושא זה בהנהלה.
- גילוי בדבר מומחיות בתחום הגנת סייבר שיש למי מחברי דירקטוריון התאגיד ומהותה של המומחיות (אם קיימת), לרבות ניסיון עבר בתחום, הסמכה מקצועית רלוונטית או רקע אחר הקשור לתחום. התקנות החדשות מבהירות כי זיהוי מומחיותו של חבר דירקטוריון בתחום זה לא תטיל עליו כל אחריות מוגברת או שונה בתפקידו כדירקטור, ולא תפחית מהאחריות הרגילה שיש ליתר חברי הדירקטוריון.
חלק מנושאים אלה טופלו בעבר במסגרת ניירות-עמדה מנחים של רשות ני"ע בארה"ב, אולם כעת מציעה הרשות לעדכן את תקנות הדיווחים כך שנושאים אלה יהיו דין מחייב. טיוטת התקנות פתוחה להערות הציבור עד ל-9 במאי.