Gecikme, Önemli Olayların 4 Gün İfşasını Gerektiren Kuralın Eleştirisi Ortasında Geliyor
Micheal Novinson (Michael Novinson) •
20 Haziran 2023
Federal piyasa düzenleyicileri, siber güvenlik olaylarının özel sektör tarafından ifşa edilmesini ve kamu kurullarında siber uzmanlığı zorunlu kılan yeni kurallar için nihai kararı Ekim ayına kadar erteledi.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyum Başucu Kitabı
ABD Menkul Kıymetler ve Borsa Komisyonu, halka açık şirketlerin keşfinden sonraki dört iş günü içinde “önemli bir siber güvenlik olayını” ifşa etme önerisine yapılan itiraz nedeniyle geçen hafta gecikmeyi açıkladı. Düzenleyicilerin nihai kuralları 3 Nisan gibi erken bir tarihte yayınlamaları bekleniyordu, ancak şimdi nihai eylemin Ekim ayına kadar olması beklenmiyor.
Kuralların bir parçası olarak federal düzenleyiciler, yatırımcıların yönetim kurulu üyelerinin siber güvenlik konularını ele alma konusunda yetkin olup olmadığını da bilmeleri gerektiğini söyledi. Özellikle olay ifşasına yönelik öneriler, 177 yanıt gönderen ve biri 17 Mayıs’ta olmak üzere SEC yetkilileriyle 28 toplantı yapan paydaşlardan önemli yorumlar aldı (bkz:: SEC, Olay İfşası ve Kurul Uzmanlığına İlişkin Nihai Kuralları Göz Önünde Bulunduruyor).
ABD Ticaret Odası, çok sayıda sektör lobicilik kuruluşunun temsilcisinin yaptığı açıklamalarda, SEC’i 2022’de kurumsal siber güvenlik programlarını “uygunluğa dayalı raporlamaya kaynak ayırmaya zorlayarak” “mikro yönetmeye” çalışmakla suçladı. Şirketlere olayların ciddiyetini doğru bir şekilde değerlendirmek için yeterli zaman vermediği için dört günlük süreyi eleştirdi ve diğer eleştirilerin yanı sıra şirket kurullarını siber güvenlik uzmanlığına sahip yönetim kurulu üyelerini ifşa etmeye zorlamanın geri tepeceğini söyledi.
Siber güvenlik endüstrisi, kuralların ilk kez Mart 2022’de önerilmesinden bu yana endişelerini dile getirmek için SEC yetkilileriyle iki kez bir araya gelen Rapid7’deki kayda değer bir istisna dışında, genel olarak kuralları desteklemektedir. yatırımcılara ek zarara neden olur,” şirket 29 Ağustos 2022’de yazdı.
Kurallar, siber olaylar hakkında halka açık ve standartlaştırılmış veriler sağlamayı destekleyen Dijital Adli Araştırma Laboratuvarı’ndan geçen hafta nitelikli destek aldı. Kuruluş, başsavcı veya ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi tarafından onaylandığı üzere, firmaların devam eden veya kontrol altına alınmayan siber olayların yanı sıra bildirimin ulusal güvenlik üzerinde olumsuz bir etkiye sahip olacağı olayları raporlamasını 30 güne kadar ertelemesine izin vermeyi önerdi. .
“SEC’in kuralının kamuya açıklama, geniş uygulanabilirlik ve standartlaştırılmış raporlama kombinasyonu – iyi kaynaklara sahip bir federal kurumun yaptırımıyla birleştiğinde – eyalet düzeyinde veri ihlali de dahil olmak üzere mevcut olay ifşa gerekliliklerinden daha sağlam bir siber güvenlik şeffaflığı düzeyi sağlayacaktır. yasalar ve sektöre özgü raporlama gereklilikleri,” diye yazdı Dijital Adli Araştırma Laboratuvarı.
Elektronik Gizlilik Bilgi Merkezi, komisyoncular, yatırım şirketleri, yatırım danışmanları ve transfer acenteleri için olaylara müdahale ve minimum veri ihlali raporlama gereksinimlerinin oluşturulmasının daha güçlü ve daha kapsamlı düzenlemeler oluşturacağını söyledi. EPIC, SEC’in bildirimlerin tüketicilere ne olduğunu anlamaları ve harekete geçmeleri için yeterli bilgi vermesini sağlaması gerektiğini söyledi (bakınız: SEC İhlal Açıklama Kuralı, CISO’ların Hasarı Daha Erken Değerlendirmesini Sağlıyor).
EPIC İcra Direktörü Alan Butler 5 Haziran’da “Olay müdahale programları ve daha güçlü bildirim rejimi ile ilgili maliyetler, aksi takdirde ön uçtaki önlemlere yeterince yatırım yapamayacak olan kuruluşlar için önemli bir zorlama işlevi görüyor.”