الخبر الحصري.. هيئة الأوراق المالية تضع حدًا زمنيًا لإبلاغ الشركات عن تعرضها للقرصنة

تضغط لجنة الأوراق المالية والبورصات من أجل مزيد من الشفافية فيما يتعلق بالهجمات الإلكترونية.

يتعين على الشركات العامة الآن الكشف عن حوادث الأمن السيبراني في وقت أقرب، وذلك بفضل القاعدة التي اعتمدتها لجنة الأوراق المالية والبورصات، وبموجب السياسة الجديدة، ستطلب هيئة الأوراق المالية والبورصات من الشركات العامة الإبلاغ عن خروقات البيانات والقرصنة بعد أربعة أيام عمل من اكتشافها.

وسيتعين على الشركات الإفصاح عن أي حوادث تتعلق بالأمن السيبراني عند تقديم نموذج 8-K عادةً ما تُعلم هذه المستندات المتاحة للجمهور المساهمين بالتغييرات الرئيسية التي تطرأ على الشركة – وستتضمن الآن عنصرًا جديدًا 1.05 لحوادث الأمن السيبراني، ويجب أن يتضمن الإفصاح معلومات عن “الطبيعة والنطاق والتوقيت” بالإضافة إلى “تأثيره المادي أو المحتمل بشكل معقول” على الشركة.

ومع ذلك، هناك استثناء لمتطلبات الإفصاح لمدة أربعة أيام، تقول لجنة الأوراق المالية والبورصات إن الإفصاح يمكن أن يتأخر إذا قرر المدعي العام الأمريكي أن تنبيه المساهمين بالحادث “من شأنه أن يشكل خطرًا كبيرًا على الأمن القومي أو السلامة العامة”.

بالإضافة إلى ذلك ، وضعت لجنة الأوراق المالية والبورصات (SEC) بندًا جديدًا من SK 106 سيتم تضمينه في الإيداع السنوي للشركة 10-K. سيتطلب ذلك من الشركات وصف عمليتها “لتقييم وتحديد وإدارة المخاطر المادية من تهديدات الأمن السيبراني”. يجب على الشركات أيضًا الكشف عن قدرة إدارتها على تقييم وإدارة المخاطر المادية من الهجمات الإلكترونية.

يقول جاري جينسلر، رئيس SEC في بيان: “سواء خسرت شركة مصنعًا في حريق – أو ملايين الملفات في حادث أمن إلكتروني – فقد يكون ذلك مهمًا للمستثمرين”، حاليًا، تقدم العديد من الشركات العامة إفصاحًا عن الأمن السيبراني للمستثمرين. أعتقد أن الشركات والمستثمرين على حد سواء سيستفيدون إذا تم هذا الإفصاح بطريقة أكثر اتساقًا وقابلية للمقارنة ومفيدة لاتخاذ القرار “.

في الأشهر الأخيرة، أصبحت العديد من الشركات ضحية للهجمات الإلكترونية، بما في ذلك Roblox و T-Mobile و Google، كما تأثرت المئات من الشركات بهجوم إلكتروني على أداة نقل الملفات MOVEit ، ويستمر هذا العدد في النمو مع تقدم المزيد من الشركات.

ستبدأ لجنة الأوراق المالية والبورصات في مطالبة الشركات العامة بالكشف عن انتهاكات البيانات التي تبدأ بعد 90 يومًا من تاريخ النشر في السجل الفيدرالي أو 18 ديسمبر 2023 – أيهما يأتي لاحقًا. وفي الوقت نفسه، سيتعين على الشركات تضمين بروتوكولات الأمن السيبراني الخاصة بها في ملفات النموذج 10-K بدءًا من السنة المالية المنتهية في 15 ديسمبر 2023 أو بعده.

نأمل أن يعني هذا أننا سنكون قادرين قريبًا على معرفة متى يتم اختراق بياناتنا بشكل أسرع كثيرًا.