Yksi historian merkittävimmistä kyberturvallisuustapahtumista on tulossa rahoituspalvelualalle uusien säädösten muodossa.
SEC on ehdottanut uusia kyberturvallisuusmääräyksiä, jotka vaikuttavat FS-yrityksiin
US Securities and Exchange Commissionin (SEC) uusilla säännöillä on merkittävä vaikutus rahoituspalveluja tarjoaviin yrityksiin ja niillä voi olla syvällinen vaikutus kyberturvallisuuskulttuuriin, kun ne hyväksytään.
SEC:n uusi ehdotus
Uusi SEC-ehdotus velvoittaa täydellisen kyberturvallisuuden läpinäkyvyyden ja vastuuvelvollisuuden yritysjohtajuuden korkeimmalla tasolla – mukaan lukien hallitukset – kaikille julkisessa omistuksessa oleville yrityksille. Se velvoittaa yritykset raportoimaan merkittävistä kyberturvallisuustapahtumista lomakkeella 8-K.
Heidän tulee myös kertoa yrityksen kyberturvallisuusriskien hallinnan politiikoista ja käytännöistä sekä siitä, miten johto osallistuu niiden toteuttamiseen.
Myös prosessi, jolla yhtiön hallitus valvoo kyberturvallisuusriskiä, sekä hallituksen jäsenten kyberturvallisuusasiantuntemus on myös julkistettava.
Tämä ehdotus auttaa pitkälle auttamaan kyberturvallisuusriskeistä ja -strategiasta hallitustason keskustelua – kauan kaivattua kehitystä. Se auttaa myös lisäämään yritysten kyberturvallisuusmenoja ja lisää kyberturvallisuustiedon kysyntää hallitustasolla. Ja se myös korostaa CISO:n sisällyttämistä näihin hallitustason keskusteluihin ja päätöksiin.
Yksityiskohtiin kaivettua
SEC teki 23. maaliskuuta 2022 ehdotuksen sellaisten julkisten yritysten antamien tietojen parantamiseksi ja standardoimiseksi, joiden on täytettävä vuoden 1934 arvopaperipörssilain raportointivaatimukset. Vaatimukset koskevat kyberturvallisuusriskien hallintaa, strategiaa, hallintoa ja tapahtumaraportointi. Olennaisista kyberturvallisuustapahtumista olisi raportoitava, kyberturvallisuuspolitiikat ja -menettelyt olisi julkistettava säännöllisesti ja hallituksen olisi valvottava kyberturvariskiä.
Kun rahoituslaitos toteaa, että sillä on ollut merkittävä kyberturvallisuushäiriö näiden SEC-vaatimusten voimaantulon jälkeen, sillä on neljä arkipäivää aikaa paljastaa se. Lomake 8-K -raporttia – joka yritysten on toimitettava SEC:lle ilmoittaakseen merkittävistä tapahtumista, joista osakkeenomistajien on tiedettävä – on muutettava osana julkistamisprosessia. Uusi suunnitelma velvoittaa myös paljastamaan useita aiemmin ilmoittamattomia yksittäisiä kyberturvallisuustapauksia, joilla on yhdessä vakavia seurauksia.
Sinun politiikkasi paljastettiin
Uusi riskienhallinnan, strategian ja hallintotavan julkistamissuunnitelma on vieläkin merkittävämpi kuin ehdotuksen tapahtumaraportointiosio. Julkisen yhtiön kyberturvallisuusriskien hallintapolitiikat ja -käytännöt paljastetaan tämän ehdotuksen osan kautta. Yritysten tulee myös paljastaa, miten hallitus valvoo kyberturvallisuusriskejä.
Lisäksi yritysten tulee paljastaa ylimmän johdon rooli kyberturvallisuusriskin arvioinnissa ja yrityksen politiikkojen ja menettelytapojen toteuttamisessa. Tämä prosessi on samanlainen kuin organisaation "raporttikortin" julkaiseminen verkossa julkista tarkastelua ja kommentointia varten.
Uuden asetuksen mukaan yritysten on julkistettava politiikkansa ja prosessinsa kyberturvallisuushyökkäysten riskien tunnistamiseksi ja hallitsemiseksi. Jos niitä ei ole, SEC panee sen merkille ja se voi johtaa vakaviin seurauksiin, kuten sakkoihin ja seuraamuksiin noudattamatta jättämisestä. Yritysten tulee myös kertoa, onko kyberturvallisuus osa yrityksen strategiaa, taloussuunnittelua ja pääoman allokointia.
Viimeisenä mutta ei vähäisimpänä, uusi asetus velvoittaa jokaisen hallituksen jäsenen, jolla on kyberturvallisuuden asiantuntemusta, ilmoittaa siitä vuosikertomuksessa ja joissakin valtakirjassa. Hallituksella tulisi olla sekä sisäisiä että ulkoisia kyberturvallisuusalan asiantuntijoita (pk-yrityksiä). Ulkopuolisten pk-yritysten olisi tarjottava erityisosaamista ja sisäisten pk-yritysten tulisi tarjota institutionaalista tietämystä.
Kyberturvallisuus: johtajuuden välttämättömyys
Kyberturvallisuuden panssarin halkeamat ovat ihmisten luomia. Ainoa tapa käsitellä tätä todellisuutta on tehdä henkilöstöstäsi olennainen osa ratkaisua ongelman sijaan. Hallitus on tyypillisesti organisaatiorakenteen huipulla; tässä on kiinnitettävä huomiota uusiin sääntöihin. Ja heidän on varustettava työntekijät jatkuvalla koulutuksella ja uusilla teknologioilla.
Yksi tärkeimmistä johtajilla ja virkailijoiden velvollisuuksista nykyään on kyberturvallisuus. Hallituksen tulee olla varma, että kyberturvallisuusohjeita ja -käytäntöjä noudatetaan. Johtajien tulee luoda ja vaalia koko yrityksessä riskitietoista kulttuuria, joka mahdollistaa paremman päätöksenteon.
Vaatimustenmukaisuus horisontissa
Ymmärrämme sitä tai emme, rahoituspalveluala on meille kaikille tärkeä. Sitä on vahvistettava ja suojeltava – ja nyt, ei myöhemmin.
Tämän vuoksi syntyy uusia säännöksiä, joiden noudattaminen ei ole vapaaehtoista. Yritysten on mukautettava politiikkansa ja menettelynsä SEC:n ja muiden kansainvälisten sääntelyelinten kanssa tehdäkseen digitaalisesta maailmasta turvallisempaa sekä sijoittajille että kuluttajille.
Tietoja kirjoittajasta:
Michael Brown on kyberturvallisuusyhtiö Fortinetin rahoituspalvelujen CISO.
Hän on erikoistunut kyberturvallisuusmääräyksiin, ESG-vaikutuksiin, SD-WAN:iin, SD-Branchiin, Zero Trustiin, matalan latenssin sähköiseen kaupankäynnin tietoturvaan, SASE- ja monipilviratkaisuihin.
- ant taloudellinen
- Pankkitekniikka
- blockchain
- blockchain-konferenssi fintech
- fintech
- coinbase
- coingenius
- noudattaminen
- kryptokonferenssi fintech
- tietoverkkojen
- Data Analytics
- digitaalinen
- Rahoituspalvelut / Finserv
- fintech
- fintech-innovaatio
- Fortinet
- Avoin meri
- PayPal
- paytech
- maksuväline
- Platon
- plato ai
- Platonin tietotieto
- PlatonData
- platopeliä
- partakone
- Raportointi
- Revolut
- Ripple
- riskienhallinta
- square fintech
- raita
- tencent fintech
- Xero
- zephyrnet
