נציבות נירות ערך בארה"ב (Securities and Exchange Commission - SEC) אישרה השבוע כללים חדשים שיחייבו חברות ציבוריות בגילויים מוגברים בנושאי אבטחת סייבר וסיכוני סייבר. לפי הכללים החדשים, חברות שניירות ערך שלהן נסחרות בבורסות בארה"ב יחויבו לפרסם באופן מובנה ושיטתי יותר דו"חות מיידיים על סיכוני סייבר מהותיים באירועי אבטחת מידע שמתרחשים אצלן, ולכלול בדו"חות התקופתיים שלהם גילויים על ניהול סיכוני אבטחת סייבר, האסטרטגיה שהן נוקטות בנושא זה ומנגנוני הממשל התאגידי שהן מיישמות בעניין. אימוץ הכללים החדשים מגיע לאחר שבשנה שעברה הנציבות פרסמה להערות הציבור את הטיוטה המוצעת לכללים.
הכללים החדשים משתרעים בין היתר על:
- עדכון טופס הדיווח המיידי לבורסה כך שיידרש דיווח על אירוע סייבר מהותי בתאגיד בתוך ארבעה ימים לאחר שהתאגיד התגבש בדעתו כי התרחש אירוע סייבר מהותי, אלא אם התובע הכללי הפדרלי בארה"ב קבע כי הדיווח יסכן באופן משמעותי את הביטחון הלאומי של ארה"ב או את שלום הציבור. הדיווח לפי התקנות המוצעות יכלול מידע על מועד האירוע, תיאור היקף ומהות האירוע, השפעת האירוע על פעילות התאגיד.
- מסירת מידע על הפיקוח שמבצע דירקטוריון התאגיד בנושא ניהול סיכוני סייבר, התפקיד שנוטלת הנהלת התאגיד בנושא זה והמומחיות הקיימת בנושא זה בהנהלה.
- מסירת מידע במסגרת דיווחים תקופתיים על אודות מדיניות התאגיד ונהליו בזיהוי והתמודדות עם סיכוני סייבר.
הכללים החדשים ייכנסו לתוקף עד לסוף השנה. מקור: הודעת נציבות נירות ערך בארה"ב.