L'un des événements les plus importants de l'histoire en matière de cybersécurité est sur le point de se produire pour le secteur des services financiers sous la forme de nouvelles réglementations législatives.
La SEC a proposé de nouvelles réglementations sur la cybersécurité qui auront un impact sur les entreprises FS
Les nouvelles règles de la Securities and Exchange Commission (SEC) des États-Unis auront un impact significatif sur les entreprises qui fournissent des services financiers et pourraient avoir un effet profond sur la culture de la cybersécurité une fois qu'elles seront adoptées.
La nouvelle proposition de la SEC
La nouvelle proposition de la SEC exigera une transparence et une responsabilité complètes en matière de cybersécurité au plus haut niveau de la direction des entreprises, y compris les conseils d'administration, pour toutes les sociétés cotées en bourse. Il obligera les entreprises à signaler les événements de cybersécurité importants sur leur formulaire 8-K.
Ils doivent également divulguer les politiques et pratiques de l'entreprise en matière de gestion des risques de cybersécurité, ainsi que la manière dont la direction participe à leur mise en œuvre.
Le processus utilisé par le conseil d'administration de l'entreprise pour superviser le risque de cybersécurité, ainsi que l'expertise en cybersécurité de tout membre du conseil, doivent également être divulgués.
Cette proposition contribuera grandement à aider les risques et la stratégie de cybersécurité à devenir une conversation au niveau du conseil d'administration - un développement nécessaire depuis longtemps. Cela contribuera également à stimuler les dépenses des entreprises en matière de cybersécurité et à stimuler la demande de connaissances en cybersécurité au niveau du conseil d'administration. Et cela soulignera également l'importance d'inclure les RSSI dans ces conversations et décisions au niveau du conseil d'administration.
Creuser dans les détails
Le 23 mars 2022, la SEC a présenté une proposition visant à améliorer et à normaliser les informations fournies par les entreprises publiques qui sont tenues de se conformer aux exigences de déclaration de la Securities Exchange Act de 1934. Les exigences concernent la gestion des risques de cybersécurité, la stratégie, la gouvernance et Rapports d'incidents. Les événements importants de cybersécurité devraient être signalés, les politiques et procédures de cybersécurité devraient être divulguées régulièrement et le conseil d'administration devrait superviser les risques de cybersécurité.
Lorsqu'une institution financière conclut qu'elle a eu un incident de cybersécurité important après l'entrée en vigueur de ces exigences de la SEC, elle dispose de quatre jours ouvrables pour le divulguer. Le rapport du formulaire 8-K – que les entreprises doivent soumettre à la SEC afin d'annoncer des événements importants dont les actionnaires doivent être informés – devra être modifié dans le cadre du processus de divulgation. Le nouveau plan rend également obligatoire la divulgation d'un certain nombre d'incidents de cybersécurité individuels non signalés auparavant qui, pris ensemble, ont de graves conséquences.
Vos politiques mises à nu
Le nouveau plan de gestion des risques, de stratégie et de divulgation de la gouvernance est encore plus important que la section de rapport d'incident de la proposition. Les politiques et pratiques de gestion des risques liés à la cybersécurité d'une entreprise publique seront exposées via cette section de la proposition. Les entreprises doivent également divulguer comment le conseil d'administration surveille les risques de cybersécurité.
De plus, les entreprises doivent divulguer le rôle de la direction générale dans l'évaluation des risques de cybersécurité et la mise en œuvre des politiques et procédures de l'entreprise. Ce processus s'apparente à la publication en ligne du « bulletin » d'une organisation pour examen et commentaires publics.
En vertu de la nouvelle réglementation, les entreprises doivent divulguer leurs politiques et processus d'identification et de gestion des risques d'attaques de cybersécurité. Si aucun n'est en place, la SEC le notera et cela peut entraîner des conséquences majeures, telles que des amendes et des pénalités pour non-conformité. Les entreprises devront également dire si la cybersécurité fait partie de leur stratégie d'entreprise, de leur planification financière et de leur allocation de capital.
Enfin et surtout, le nouveau règlement exige que tout membre du conseil d'administration possédant une expertise en cybersécurité la déclare dans le rapport annuel et certaines circulaires de sollicitation de procurations. Le conseil d'administration doit être composé d'experts internes et externes en matière de cybersécurité (PME). Les PME externes devraient fournir des connaissances spécialisées et les PME internes devraient fournir les connaissances institutionnelles.
Cybersécurité : un impératif de leadership
Les failles dans l'armure de la cybersécurité sont créées par des personnes. Faire de votre personnel une partie intégrante de la solution, plutôt que du problème, est la seule façon de faire face à cette réalité. Le conseil d'administration est généralement au sommet de la structure organisationnelle; c'est ici que l'attention aux nouvelles règles doit commencer. Et ils doivent doter les employés d'une formation continue et des nouvelles technologies.
L'une des obligations fiduciaires les plus importantes que les administrateurs et les dirigeants ont aujourd'hui est la cybersécurité. Le conseil d'administration doit être certain que les directives et les pratiques en matière de cybersécurité sont suivies. Les dirigeants doivent établir et entretenir une culture consciente des risques dans toute l'entreprise, ce qui permet une meilleure prise de décision.
Conformité à l'horizon
Que nous en soyons conscients ou non, le secteur des services financiers est essentiel pour nous tous. Il doit être renforcé et protégé – et maintenant, pas plus tard.
De nouvelles réglementations voient le jour à la lumière de ce fait, et la conformité n'est pas facultative. Les entreprises doivent aligner leurs politiques et procédures sur la SEC et d'autres organismes de réglementation internationaux afin de rendre le monde numérique plus sûr pour les investisseurs et les consommateurs.
À propos de l'auteur:
Michael Brown est CISO de terrain pour les services financiers de la société de cybersécurité Fortinet.
Il est spécialisé dans les réglementations en matière de cybersécurité, l'impact ESG, le SD-WAN, le SD-Branch, le Zero Trust, la sécurité du commerce électronique à faible latence, le SASE et les solutions multi-cloud.
- fourmi financière
- BanqueTech
- blockchain
- conférence blockchain fintech
- carillon fintech
- coinbase
- cognitif
- conformité
- crypto conférence fintech
- Cybersécurité
- Analyse de Donnée
- numérique
- Services financiers / Finserv
- FinTech
- innovation fintech
- Fortinet
- OpenSea
- PayPal
- technologie payante
- voie de paiement
- Platon
- platon ai
- Intelligence des données Platon
- PlatonDonnées
- jeu de platogamie
- rasoir
- Rapports
- Revolut
- Ripple
- la gestion des risques
- fintech carré
- bande
- fintech tencent
- photocopieuse
- zéphyrnet
