Standartlar, Düzenlemeler ve Uyumluluk
SEC, Büyük Şirketlerin Önemli Olayları 18 Aralık İtibariyle Yatırımcılara Bildirmesi Gerektiğini Söyledi
David Perera (@daveperera) •
8 Aralık 2023
FBI, bu yılın başlarında ABD Menkul Kıymetler ve Borsa Komisyonu tarafından onaylanan kurallar uyarınca, halka açık şirketlerin önemli siber güvenlik olaylarını yatırımcılara bildirmede bir gecikmeye başvurması için prosedürlerin ana hatlarını çizdi.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Federal düzenleyiciler, 18 Aralık’tan itibaren borsalarda işlem gören şirketlerin bir siber olayın “önemli” olup olmadığını belirlemesini ve eğer öyleyse bunu dört iş günü içinde açıklamasını zorunlu kıldı. Küçük işletmelerin kurala uymaları için 15 Haziran’a kadar süreleri var (bkz: SEC, 4 Gün İçinde Önemli Olayların Açıklanması Gereksinimini Oyladı).
O dönemde bir SEC yetkilisi, SEC’in kural teklifi aşamasında gönderilen yorumları okuduktan sonra kamu güvenliğini veya ulusal güvenliği etkileyebilecek olaylar için bir raporlama uzantısı eklediğini söyledi.
Çarşamba günü yayınlanan bir kamuoyu duyurusunda büro, doğrudan mağdurdan mı yoksa Siber Güvenlik ve Altyapı Güvenlik Ajansı gibi başka bir devlet kurumu aracılığıyla mı talep alındıktan iki saat sonra bir olayın kamu güvenliği veya ulusal güvenlik yansımalarını araştırmaya başlayacağını söyledi. .
Adalet Bakanlığı nihai olarak kamuya bildirimin ertelenip ertelenmeyeceğine karar verecek. Kural, şirketlere çoğu risk için 60 iş gününe kadar, ancak “olağanüstü durumlarda” önemli bir ulusal güvenlik riski için 120 iş gününe kadar bir duraklama veriyor. Bundan daha uzun bir gecikme SEC’in emrini gerektirecektir.
Nihai kural, önemli bir olayı, bir yatırım kararı verirken “makul bir hissedarın bunu önemli olarak görmesi ihtimalinin önemli olduğu” bir olay olarak tanımlamaktadır. Kamuya açık bilgilerin “toplam karışımını” önemli ölçüde değiştiren bir olay da sayılır. Federal düzenleyiciler, şüphe durumunda şirketlerin bir olayı açıklamayı seçmesi gerektiğini söyledi.
FBI, olayın önemi belirlendikten hemen sonra uzatma talebinde bulunulması gerektiğini söyledi. Büronun web sitesinde, “Önemliliğin belirlenmesi üzerine siber olayın derhal rapor edilmemesi, gecikme-sevk talebinin reddedilmesine neden olacaktır” diyor.
FBI, “halka açık tüm şirketlerin yerel FBI saha ofislerindeki siber ekiple ilişki kurmasını” tavsiye ediyor.
Bir SEC yetkilisi geçtiğimiz günlerde New York City’deki bir izleyici kitlesine, “yatırımcıların, şirketlerin siber güvenlik olaylarından dolayı karşılaşabilecekleri kayıplar konusunda gerçekten iyi bir resme sahip olmadıkları” için kuralın gerekli olduğunu söyledi (bkz: SEC, Siber İfşa Kuralı ‘Uyum Yükümlülüklerinden’ Kaçınmayı Amaçlıyor).