SEC разъясняет цель правил раскрытия информации о нарушениях кибербезопасности после первоначальной подачи заявок

  • Ремонт ДНР
  • Ремонт квартир
  • SEC разъясняет цель правил раскрытия информации о нарушениях кибербезопасности после первоначальной подачи заявок
Ремонт и отделка квартир в Донецке ДНР

Правила требуют уведомления о “существенных” нарушениях, но некоторые пользователи, подавшие предварительную заявку, сообщали об инцидентах, которые, по-видимому, не соответствуют нормативному порогу.

SEC clarifies intent of cybersecurity breach disclosure rules after initial filings

«Ценные бумаги и Штаб-квартира Комиссии по ценным бумагам и биржам в Вашингтоне, округ Колумбия, недалеко от Union Station» от AgnosticPreachersKid лицензирована в соответствии с CC BY 3.0

Краткое описание:

  • Требования к сообщению о нарушениях кибербезопасности, принятые Комиссией по ценным бумагам и биржам в прошлом году, не предназначены для добровольного раскрытия информации о “несущественных” инцидентах, — говорится в недавнем заявлении высокопоставленного представителя агентства.
  • Правила требуют, чтобы публичные компании сообщали о “существенном” инциденте в области кибербезопасности в SEC в форме 8-K по пункту 1.05 в течение четырех дней с момента определения того, что нарушение является существенным. Хотя добровольная подача заявок в соответствии с пунктом 1.05 прямо не запрещена, она может ввести инвесторов в заблуждение, говорится в заявлении Эрика Гердинга, директора отдела корпоративных финансов SEC.
  • “[Если] все инциденты с кибербезопасностью раскрываются в соответствии с пунктом 1.05, то существует существует риск того, что инвесторы будут неверно воспринимать несущественные инциденты в области кибербезопасности как существенные, и наоборот”, — сказал он.

Подробное описание:

Заявление Гердинга, вероятно, отражает обеспокоенность Отдела корпоративных финансов по поводу раскрытия информации об инцидентах, поданной в соответствии с новыми правилами SEC, поскольку агентство начало применять их в декабре прошлого года, согласно к сообщению в блоге, опубликованному юридической фирмой Wiley Rein LLP.

“Наш обзор открытых заявок демонстрирует некоторую осторожность со стороны заявителей, поскольку некоторые компании подают заявки в соответствии с пунктом 1.05, когда неясно, является ли инцидент существенным”, — говорится в сообщении в блоге. “Вместо этого заявители, по-видимому, проявляют чрезмерную осторожность при подаче заявлений, не определив их существенность”.

Согласно правилам SEC, компании должны определить существенность инцидента “без необоснованных задержек после обнаружения и, если инцидент признан существенным, подать заявление по пункту 1.05 Форма 8-К, как правило, в течение четырех рабочих дней с момента принятия такого решения”.

В раскрытии должны быть описаны существенные аспекты характера, масштабов и времени инцидента, а также его “существенное воздействие или разумно вероятное существенное воздействие”.

Если компания решит раскрыть информацию о нарушении, в отношении которого она еще не определила его существенность, или о нарушении, которое было признано несущественным, Отдел корпоративных финансов рекомендует компании раскрыть информацию об этом инциденте в соответствии с другим пунктом формы 8-К, например, пунктом 8.01, сказал Гердинг. “Я признаю ценность такого добровольного раскрытия информации инвесторам, рынку и, в конечном счете, компаниям, и это заявление не направлено на то, чтобы лишить компании стимулов к раскрытию такой информации”, — сказал он. “Скорее, это заявление призвано стимулировать предоставление такой добровольной информации таким образом, чтобы это не вводило инвесторов в заблуждение и не снижало ценность раскрытия информации по пункту 1.05 в отношении существенных инцидентов кибербезопасности”.

Если компания раскрывает информацию о несущественном инциденте в соответствии с пунктом 8.01, а затем это впоследствии определяет, что инцидент является существенным, тогда он должен подать форму 8-К по пункту 1.05 в течение четырех рабочих дней после такого последующего определения существенности, говорится в заявлении.

С 18 декабря все охваченные компании, за исключением небольших отчитывающихся предприятий, были обязаны соблюдать новые требования по раскрытию информации о нарушениях. С 5 июня они будут распространяться на небольшие отчитывающиеся компании.

В январе Microsoft раскрыла в форме 8-К по пункту 1.05, что “субъект, связанный с угрозами, связанными с национальным государством”, получил доступ к информации “очень небольшого процента” сотрудников и извлек ее. учетные записи электронной почты, включая членов высшего руководства компании и сотрудников, занимающихся вопросами кибербезопасности, юриспруденции и другими функциями.“На дату подачи этого заявления инцидент не оказал существенного влияния на деятельность Компании”, — говорится в сообщении технологического гиганта из Редмонда, штат Вашингтон. “Компания еще не определила, есть ли достаточная вероятность того, что инцидент окажет существенное влияние на финансовое состояние Компании или результаты ее деятельности”.

HP Enterprise и Prudential Financial входят в число компаний, которые использовали аналогичные формулировки в заявлениях о нарушениях, поданных в SEC в соответствии с новыми правилами кибербезопасности.Microsoft сообщила о своем нарушении в SEC, несмотря на то, что расследование компании не выявило последствий, которые соответствовали бы порогу существенного воздействия, установленному агентством, сообщает The Wall Street Journal в январе. “Но поскольку закон настолько новый, мы хотели убедиться, что соблюдаем дух закона”, — говорится в сообщении компании, опубликованном в журнале.

Рекомендуется к прочтению

  • Новые правила SEC в киберпространстве предполагают раскрытие информации о нарушениях, вызывающих вопросы

    SEC clarifies intent of cybersecurity breach disclosure rules after initial filings

    Погружение финансового директора

Донецк, ДНР