Комісія з цінних паперів і бірж США (SEC) схвалила в остаточному варіанті нормативний акт, який зобов'язує публічні компанії розкривати інформацію про суттєві кіберінциденти.

"Втратила компанія промисловий об'єкт через пожежу, або ж мільйони записів про клієнтів через проблеми з інформаційною безпекою, - це може бути суттєвим для інвесторів", - наведено слова керівника комісії Гері Генслера на сайті регулятора.

Згідно з новими правилами, публічні компанії мають повідомляти про кібератаки протягом чотирьох робочих днів після того, як інцидент визнали суттєвим, відправляючи до SEC форму 8-K.

За підсумками громадського обговорення низку положень документа було скориговано в бік пом'якшення.

Так, акцент під час розкриття інформації зміщено тепер у бік наслідків інциденту, а не його обставин. Експерти, коментуючи початковий проєкт нормативного акта, звертали увагу на ризики, пов'язані з публікацією відомостей про інформаційні системи компанії та способи їх відновлення, оскільки така інформація може тільки допомогти хакерам.

Компаніям пропонується описувати в річних звітах процес ідентифікації кіберризиків, а також як цими ризиками управляє менеджмент компанії, як їх контролює рада директорів.

Комісія за підсумками громадського обговорення також відмовилася від вимоги, щоб компанії повідомляли про рівень наявної у членів рад директорів професійної експертизи в галузі інформаційної безпеки.

В окремих випадках компанії можуть отримувати відтермінування розкриття інформації на 30 днів, якщо її оприлюднення може становити ризики у сфері національної або громадської безпеки.

Американські компанії почнуть виконувати нові вимоги SEC із середини грудня.