En af de mest betydningsfulde cybersikkerhedsbegivenheder i historien er ved at finde sted for finanssektoren i form af nye lovgivningsmæssige bestemmelser.
SEC har foreslået nye cybersikkerhedsregler, der vil påvirke FS-virksomheder
Nye regler fra US Securities and Exchange Commission (SEC) vil have en betydelig indvirkning på virksomheder, der leverer finansielle tjenester og kan have en dybtgående effekt på cybersikkerhedskulturen, når de først er vedtaget.
SEC's nye forslag
Det nye SEC-forslag vil påbyde fuldstændig cybersikkerhedsgennemsigtighed og ansvarlighed på det højeste niveau af virksomhedsledelse – inklusive bestyrelserne – for alle offentligt ejede virksomheder. Det vil påbyde, at virksomheder rapporterer væsentlige cybersikkerhedsbegivenheder på deres Form 8-K.
De skal også oplyse virksomhedens politikker og praksis for håndtering af cybersikkerhedsrisici, samt hvordan ledelsen deltager i deres implementering.
Den proces, som virksomhedens bestyrelse bruger til at overvåge cybersikkerhedsrisikoen, samt ethvert bestyrelsesmedlems cybersikkerhedsekspertise, skal også oplyses.
Dette forslag vil i høj grad hjælpe med at hjælpe cybersikkerhedsrisici og -strategi til at blive en samtale på bestyrelsesniveau - en udvikling, der længe har været nødvendig. Det vil også hjælpe med at øge virksomhedens udgifter til cybersikkerhed og fremme efterspørgslen efter viden om cybersikkerhed på bestyrelsesniveau. Og det vil også understrege vigtigheden af at inkludere CISO'er i disse samtaler og beslutninger på bestyrelsesniveau.
Graver i detaljerne
Den 23. marts 2022 fremsatte SEC et forslag om at forbedre og standardisere de oplysninger, som offentlige firmaer, der er forpligtet til at overholde rapporteringskravene i Securities Exchange Act af 1934. Kravene refererer til cybersikkerhedsrisikostyring, strategi, styring og hændelsesrapportering. Væsentlige cybersikkerhedsbegivenheder skal rapporteres, cybersikkerhedspolitikker og -procedurer skal offentliggøres regelmæssigt, og bestyrelsen skal overvåge cybersikkerhedsrisici.
Når en finansiel institution konkluderer, at de har haft en væsentlig cybersikkerhedshændelse, efter at disse SEC-krav er blevet lov, har de fire hverdage til at oplyse det. Form 8-K-rapporten - som virksomheder skal indsende til SEC for at annoncere væsentlige begivenheder, som aktionærerne har brug for at vide om - skal ændres som en del af offentliggørelsesprocessen. Den nye plan giver også mandat til at afsløre en række tidligere urapporterede individuelle cybersikkerhedshændelser, der tilsammen har alvorlige konsekvenser.
Dine politikker er blotlagt
Den nye plan for risikostyring, strategi og styring er endnu mere betydningsfuld end forslagets afsnit om hændelsesrapportering. Politikker og praksis for styring af cybersikkerhedsrisiko for et offentligt selskab vil blive afsløret via denne del af forslaget. Virksomheder skal også oplyse, hvordan bestyrelsen overvåger cybersikkerhedsrisici.
Derudover skal virksomheder oplyse den administrerende ledelses rolle i evalueringen af cybersikkerhedsrisici og udførelsen af virksomhedens politikker og procedurer. Denne proces svarer til at lægge en organisations "rapportkort" online til offentlig gennemgang og kommentarer.
I henhold til den nye forordning skal virksomheder offentliggøre deres politikker og processer til at identificere og håndtere risici fra cybersikkerhedsangreb. Hvis ingen er på plads, vil SEC bemærke det, og det kan resultere i store konsekvenser, såsom bøder og bøder for manglende overholdelse. Virksomheder skal også sige, om cybersikkerhed er en del af deres virksomhedsstrategi, finansielle planlægning og kapitalallokering.
Sidst men ikke mindst giver den nye forordning mandat til, at bestyrelsesmedlemmer, der besidder cybersikkerhedsekspertise, skal erklære det i årsrapporten og nogle fuldmagtserklæringer. Bestyrelsen bør have både interne og eksterne cybersikkerhedseksperter (SMV'er). Eksterne SMV'er bør levere specialistviden, og interne SMV'er bør levere den institutionelle viden.
Cybersikkerhed: en ledelsesimperativitet
Sprækkerne i cybersikkerhedens rustning er skabt af mennesker. At gøre dit personale til en integreret del af løsningen, snarere end problemet, er den eneste måde at håndtere denne virkelighed på. Bestyrelsen er typisk i toppen af organisationsstrukturen; det er her, opmærksomheden på de nye regler skal begynde. Og de skal udstyre medarbejderne med løbende uddannelse og nye teknologier.
En af de vigtigste tillidsforpligtelser, som direktører og embedsmænd har i dag, er cybersikkerhed. Bestyrelsen skal være sikker på, at retningslinjer og praksis for cybersikkerhed bliver fulgt. Ledere skal etablere og pleje en risikobevidst kultur i hele virksomheden, som muliggør bedre beslutningstagning.
Overholdelse i horisonten
Uanset om vi indser det eller ej, er sektoren for finansielle tjenesteydelser afgørende for os alle. Det skal styrkes og beskyttes – og nu, ikke senere.
Nye regler opstår i lyset af dette faktum, og overholdelse er ikke valgfri. Virksomheder skal tilpasse deres politikker og procedurer med SEC og andre internationale reguleringsorganer for at gøre den digitale verden mere sikker for både investorer og forbrugere.
Om forfatteren:
Michael Brown er field CISO for finansielle tjenester hos cybersikkerhedsfirmaet Fortinet.
Han har specialiseret sig i cybersikkerhedsforskrifter, ESG-påvirkning, SD-WAN, SD-Branch, Zero Trust, elektronisk handelssikkerhed med lav latens, SASE og multi-cloud-løsninger.
- ant finans
- BankingTech
- blockchain
- blockchain konference fintech
- klokkespil fintech
- coinbase
- coingenius
- Compliance
- kryptokonference fintech
- Cybersecurity
- Dataanalyse
- digital
- Financial Services/Finserv
- fintech
- fintech innovation
- Fortinet
- OpenSea
- PayPal
- paytech
- betalingsvej
- plato
- platon ai
- Platon Data Intelligence
- PlatoData
- platogaming
- razorpay
- Rapportering
- Revolut
- Ripple
- risikostyring
- firkantet fintech
- stribe
- tencent fintech
- Xero
- zephyrnet
