ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), kabul edilirse kamu şirketlerini siber saldırılar hakkında keşiflerinden sonraki 96 saat içinde rapor vermeye ve ayrıca siber güvenlik risklerini nasıl yönettikleri hakkında periyodik raporlar yayınlamaya zorlayacak kurallar önerdi.
SEC, Form 8-K gereksinimlerinde kötü amaçlı yazılım ve diğer siber güvenlik olaylarıyla ilgili raporlamayı içerecek şekilde “kayıt sahibinin önemli bir siber güvenlik olayı yaşadığını belirlemesinden sonraki dört iş günü içinde” bir değişiklik önermektedir.
8-K formu genellikle halka açık şirketler tarafından hissedarları etkileyecek önemli değişiklikleri veya olayları duyurmak için kullanılır.
Siber güvenlik gelişmekte olan bir risktir
Ayrıca, SEC, şirketlerin “toplamda önemli hale gelen” daha önce açıklanmayan olayları rapor edeceği üç aylık 10-Q raporunda ve yıllık 10-K raporunda değişiklikler önerir. Başka bir deyişle, küçük olayları dört gün içinde bildirmeleri gerekmez, ancak daha büyük bir olaya dönüşen on küçük olayın arada bir bildirilmesi gerekir.
Formlar aynı zamanda şirketlerin siber riski yönetirken kullandıkları politika ve prosedürleri raporlamak için de kullanılacaktır.
SEC Başkanı Gary Gensler yaptığı açıklamada, “Bugün siber güvenlik, kamu ihraççılarının giderek daha fazla mücadele etmesi gereken yükselen bir risktir.” Dedi. “Yatırımcılar, ihraççıların artan bu riskleri nasıl yönettikleri hakkında daha fazla bilgi edinmek istiyor. Pek çok ihraççı, yatırımcılara siber güvenlik ifşası sağlıyor. Bu bilgilerin tutarlı, karşılaştırılabilir ve karar verme açısından yararlı bir şekilde istenmesi durumunda, şirketler ve yatırımcıların fayda sağlayacağını düşünüyorum. “
Son zamanlarda, ABD düzenleyicileri siber güvenlikle ilgili olarak kaplan mevzuatı için baskı yapıyorlar.
Bir hafta önce, Güçlendirme Amerikan Siber Güvenliği Yasası, Senato İç Güvenlik ve Devlet İşleri Komitesinin kıdemli üyesi ve başkanı Senatörler Rob Portman ve Gary Peters tarafından tanıtıldı.
Şu anda bir oylama için Meclis’e giden yasaya göre, Amerikan kritik altyapı kuruluşları, uç noktalarındaki siber güvenlik olaylarını 72 saat içinde ve herhangi bir fidye yazılımı ödemesini 24 saat içinde bildirmek zorunda kalacaklar.
Üzerinden: Kayıt