Oplysninger om cybersikkerhed vil blive styrket under nye SEC-forslag

Offentliggørelser af offentlige virksomheders cybersikkerhedsforanstaltninger og hacks ville blive styrket, hvis nye regler foreslået af Securities and Exchange Commission i dag godkendes.

SEC-formand Gary Gensler sagde, at forslagene, hvis de bliver vedtaget, vil styrke investorernes evne til at evaluere cybersikkerhedshændelser og rapportering af forholdsregler fra de virksomheder, de ejer, ved at gøre konsistente, sammenlignelige, pålidelige og beslutningstagningsoplysninger tilgængelige.

Han sagde, at cybertrusler udgør betydelige økonomiske, juridiske, operationelle og omdømmemæssige risici for virksomheder.

SEC-cheføkonom og direktør for afdelingen for økonomisk og risikoanalyse Jessica Wachter sagde, at forslagene ville sænke søgeomkostningerne for investorer og gøre det lettere at sammenligne cybersikkerhedssammenligninger blandt virksomheder.

I henhold til forslagene skal en virksomhed afsløre en væsentlig cybersikkerhedshændelse inden for fire dage efter, at firmaet havde fastslået, at den fandt sted. Virksomheden vil også være forpligtet til at give periodiske offentliggørelser af yderligere oplysninger om hændelsen.

Derudover skal en virksomhed oplyse ledelsens og bestyrelsens rolle og overvågning af cybersikkerhedsrisici; om det har cybersikkerhedspolitikker og -procedurer; og hvordan cybersikkerhedsrisici og hændelser sandsynligvis vil påvirke virksomhedens økonomi; og om bestyrelsesmedlemmer har ekspertise inden for cybersikkerhed.

Den demokratiske kommissær Caroline Crenshaw sagde, at de nye regler er blevet afgørende, da administrerende direktører har identificeret cyberhændelser som den største trussel mod erhvervsvækst i de kommende år.

Hun hævdede i øjeblikket, at "hvem hvad hvornår og hvor af afsløringer" er upålidelig.

I modsætning til forslaget anklagede det eneste republikanske medlem af Kommissionen Hester Peirce, at det flirter med at udpege SEC som et cybersikkerhedskommandocenter.

"Vi er ikke regulatorerne med den nødvendige ekspertise," sagde Peirce.

Hun gjorde også indsigelse mod, at forslagene ville føre til en hidtil uset mikrostyring af bestyrelser af SEC ved at kræve, at virksomheder afslører bestyrelsesmedlemmernes viden om cybersikkerhed.