Standartlar, Düzenlemeler ve Uyumluluk
Yetkili, Açıklama Kuralının Küçük Şirketler için İstisnalar ve Uzatmalar İçerdiğini Söyledi
Chris Riotta (@chrisriotta) •
16 Kasım 2023
Federal düzenleyici kurumdan üst düzey bir yetkiliye göre, ABD Menkul Kıymetler ve Borsa Komisyonu, küçük şirketlere yeni bir siber olay raporlama kuralına uymaları için ekstra zaman sağlıyor ve “uyum yüklerinden” kaçınmak için çeşitli kuruluşlarla birlikte çalışıyor.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
SEC’in Kurumsal Finansman Bölümü Direktörü Erik Gerding Çarşamba günü yaptığı açıklamada, kamu şirketlerinin maddi siber olayları, kuruluş veya müşterileri üzerinde maddi bir etki tespit edildikten sonraki dört gün içinde raporlamasını gerektiren yeni açıklama kuralının, yatırımcılara eyleme geçirilebilir bilgiler sağlamayı amaçladığını söyledi. Siber güvenlik riskleri hakkında bilgi (bkz.: SEC, 4 Gün İçinde Önemli Olayların Açıklanması Gereksinimini Oyladı).
Gerding, New York City’deki Aspen Siber Zirvesi’nde “Bu, halka açık şirketlerle oyun oynamakla ilgili değil” dedi. “Bu aslında yatırımcılar için yararlı olan bilgilerin sağlanmasıyla ilgilidir.”
Açıklama kuralı resmi olarak 18 Aralık’ta yürürlüğe girecek ancak küçük şirketlerin, temel risk yönetimi ve yönetişim uygulamaları hakkında bilgi içeren yıllık raporların yayınlanması da dahil olmak üzere yeni gereksinimlere uymak için ek 180 günü olacak (bkz: SEC İhlali Açıklama Kuralı CISO’ların Hasarı Daha Erken Değerlendirmesini Sağlıyor).
Gerding, yeni kuralın aynı zamanda maddi siber olayların kamuya açıklanmasının siber suçlulara bir sonraki saldırılarını gerçekleştirmeleri için bir yol haritası sağlamayacağını da garanti ettiğini söyledi. Kuralın, teknik ayrıntıları açıklayacak raporlama gerekliliklerini içermediğini, bunun yerine şirketlerin siber güvenlik risk yönetimi operasyonlarına ilişkin gerçek zamanlı yatırım bilgileri sağlamaya odaklandığını söyledi.
Gerding, “Yatırımcılar, şirketlerin siber güvenlik olaylarından dolayı ne tür kayıplarla karşılaşabileceği konusunda gerçekten iyi bir resme sahip değiller” dedi ve “yatırımcıların asıl aradığı şey, hangi şirketlerin daha fazla riskle karşı karşıya olduğunu söyleyebilmektir.”
Yeni düzenlemelerin halka açık şirketler için güvenlik riskleri oluşturabileceği ve hatta ulusal güvenlik endişelerini artırabileceği konusunda sektörden ve hatta bazı SEC komisyon üyelerinden daha önce dile getirilen endişelere rağmen Gerding, kuralın belirli durumlar için önemli istisnalar içerdiğini söyledi.
Kurala göre başsavcı, bir siber olayın kamuya açıklanmasının kamu güvenliği veya ulusal güvenlik açısından önemli bir risk oluşturabileceğine karar verebiliyor.
Gerding, “Bu, kamu şirketlerine gizli siber güvenlik olaylarını ele almak için Adalet Bakanlığı, FBI veya diğer ulusal güvenlik ve yasa uygulama kurumlarıyla birlikte çalışma şansı veriyor” dedi.