Avsløringer om cybersikkerhet vil bli styrket under nye SEC-forslag

Avsløringer av offentlige selskapers cybersikkerhetstiltak og hacks vil bli styrket dersom nye regler foreslått av Securities and Exchange Commission i dag blir godkjent.

SEC-leder Gary Gensler sa at forslagene, hvis de blir vedtatt, vil styrke investorenes evne til å evaluere cybersikkerhetshendelser og rapportering av forholdsregler fra selskapene de eier ved å gjøre konsistent, sammenlignbar, pålitelig og beslutningstakende informasjon tilgjengelig.

Han sa at cybertrusler utgjør betydelige økonomiske, juridiske, operasjonelle og omdømmerisikoer for firmaer.

SEC-sjeføkonom og direktør for avdelingen for økonomisk og risikoanalyse Jessica Wachter sa at forslagene vil redusere søkekostnadene for investorer og gjøre det lettere å sammenligne cybersikkerhetssammenligninger mellom selskaper.

I henhold til forslagene vil et selskap bli pålagt å avsløre en vesentlig cybersikkerhetshendelse innen fire dager etter at firmaet hadde fastslått at det skjedde. Virksomheten vil også bli pålagt å gi periodiske avsløringer av tilleggsinformasjon om hendelsen.

I tillegg vil et selskap måtte avsløre ledelsens og styrets rolle og tilsyn med cybersikkerhetsrisikoer; om den har retningslinjer og prosedyrer for nettsikkerhet; og hvordan cybersikkerhetsrisikoer og hendelser sannsynligvis vil påvirke selskapets økonomi; og om styremedlemmene har cybersikkerhetskompetanse.

Demokratisk kommissær Caroline Crenshaw sa at de nye reglene har blitt viktige ettersom administrerende direktører har identifisert cyberhendelser som den største trusselen mot forretningsvekst i årene som kommer.

Hun hevdet for øyeblikket "hvem hva når og hvor av avsløringer" er upålitelig.

I motsetning til forslaget anklaget det eneste republikanske medlemmet i kommisjonen Hester Peirce at den flørter med å utpeke SEC som et kommandosenter for cybersikkerhet.

"Vi er ikke regulatorene med den nødvendige ekspertisen," sa Peirce.

Hun motsatte seg også at forslagene ville føre til en enestående mikrostyring av styrene av SEC ved å kreve at selskaper avslører cybersikkerhetskunnskapen til styremedlemmer.