Комиссия по ценным бумагам и биржам США (SEC) одобрила нормы о раскрытии публичными организациями данных о существенных киберинцидентах, передает «Газета.ру».
"Потеряла ли компания промышленный объект из-за пожара, или же миллионы записей о клиентах из-за проблем с информационной безопасностью, - это может быть существенным для инвесторов", - заявил руководитель комиссии Гэри Генслер.
Публичные компании обязаны информировать о кибератаках в течение четырех рабочих дней после того, как факт признается значимым, передавая в SEC форму 8-K.
При этом в конечном варианте документ был смягчен по ряду пунктов.
Внимание при раскрытии информации обращено на последствия произошедшего, а не его обстоятельства. Специалисты, обсуждая предварительный акт, отмечали риски в связи с публикацией сведений об информационных системах компании и способах их восстановления. Ведь это может только сыграть на руку хакерам.
Компании должны в годовых отчетах сообщать о процессе идентификации киберрисков, задействовать также должны в этих процессах менеджмент компании и совет директоров.
В некоторых моментах компании вправе получить отсрочку раскрытия информации на 30 дней, если информация может нести угрозу в сфере национальной или общественной безопасности.
Американские компании будут работать по новым правилам с середины декабря.