תקנות חקיקה חדשות מהוות מחליפות משחק בתחום אבטחת סייבר עבור תעשיית ה-FS

הועלה מחדש על ידי אפלטון

עוקב: 0

אחד מאירועי אבטחת הסייבר המשמעותיים ביותר בהיסטוריה עומד להתרחש עבור תעשיית השירותים הפיננסיים בצורה של תקנות חקיקה חדשות.

ה-SEC הציע תקנות אבטחת סייבר חדשות שישפיעו על עסקי FS

לכללים חדשים של רשות ניירות ערך של ארה"ב (SEC) תהיה השפעה משמעותית על עסקים המספקים שירותים פיננסיים ועשויה להשפיע עמוקות על תרבות אבטחת הסייבר לאחר אימוץם.

ההצעה החדשה של ה-SEC

ההצעה החדשה של ה-SEC תחייב שקיפות מוחלטת של אבטחת סייבר ואחריות ברמה הגבוהה ביותר של מנהיגות עסקית - כולל הדירקטוריונים - עבור כל החברות הפומביות. זה יחייב עסקים לדווח על אירועי אבטחת סייבר משמעותיים בטופס 8-K שלהם.

כמו כן, עליהם לחשוף את המדיניות והנהלים של החברה לניהול סיכוני אבטחת סייבר, וכן כיצד ההנהלה משתתפת ביישומם.

יש לחשוף גם את התהליך שבו משתמש דירקטוריון החברה כדי לפקח על סיכוני אבטחת סייבר, כמו גם מומחיות של כל חבר דירקטוריון באבטחת סייבר.

הצעה זו תסייע רבות לסיכון ואסטרטגיית אבטחת סייבר להפוך לשיחה ברמת הדירקטוריון - פיתוח נדרש מזמן. זה גם יעזור להגביר את ההוצאות הארגוניות על אבטחת סייבר ולהניע את הביקוש לידע בנושא אבטחת סייבר ברמת הדירקטוריון. וזה גם ידגיש את החשיבות של הכללת CISO בשיחות ובהחלטות ברמת הדירקטוריון הללו.

חופר לפרטים

ב-23 במרץ 2022, ה-SEC הציגה הצעה לשיפור וסטנדרטיזציה של הגילויים שנמסרו על ידי חברות ציבוריות שנדרשות לעמוד בדרישות הדיווח של חוק בורסת ניירות ערך משנת 1934. הדרישות מתייחסות לניהול סיכוני אבטחת סייבר, אסטרטגיה, ממשל ו דיווח על אירועים. יהיה צורך לדווח על אירועי אבטחת סייבר מהותיים, מדיניות ונהלי אבטחת סייבר יצטרכו להיחשף על בסיס קבוע והדירקטוריון יצטרך לפקח על סיכוני אבטחת סייבר.

כאשר מוסד פיננסי מסיק שהיה לו אירוע אבטחת סייבר משמעותי לאחר שדרישות ה-SEC הללו הפכו לחוק, יש לו ארבעה ימי עסקים לחשוף זאת. דוח טופס 8-K - שעל עסקים להגיש ל-SEC על מנת להכריז על אירועים משמעותיים שבעלי המניות צריכים לדעת עליהם - יהיה צורך לתקן כחלק מתהליך החשיפה. התוכנית החדשה מחייבת גם לחשוף מספר אירועי אבטחת סייבר בודדים שלא דווחו בעבר, אשר ביחד, יש להם השלכות חמורות.

המדיניות שלך חשופה

התוכנית החדשה לניהול סיכונים, אסטרטגיה וחשיפה של ממשל משמעותית אפילו יותר מסעיף דיווח האירועים של ההצעה. המדיניות והנהלים של ניהול סיכוני אבטחת סייבר של תאגיד ציבורי ייחשפו באמצעות סעיף זה של ההצעה. חברות חייבות גם לחשוף כיצד הדירקטוריון מפקח על סיכון אבטחת סייבר.

בנוסף, חברות חייבות לחשוף את תפקידה של ההנהלה הבכירה בהערכת סיכוני אבטחת סייבר ובביצוע המדיניות והנהלים של החברה. תהליך זה דומה לפרסום "כרטיס הדיווח" של ארגון באינטרנט לביקורת והערה ציבורית.

על פי הרגולציה החדשה, חברות חייבות לחשוף את המדיניות והתהליכים שלהן לזיהוי וניהול סיכונים ממתקפות אבטחת סייבר. אם אף אחד לא קיים, ה-SEC יציין זאת וזה עלול לגרום לתוצאות חמורות, כגון קנסות ועונשים על אי ציות. חברות יצטרכו גם לומר אם אבטחת סייבר היא חלק מהאסטרטגיה הארגונית, התכנון הפיננסי והקצאת ההון שלהן.

אחרון חביב, הרגולציה החדשה קובעת שכל חברי דירקטוריון בעלי מומחיות בתחום אבטחת סייבר חייבים להצהיר על כך בדוח השנתי ובכמה הצהרות מיופה כוח. במועצת המנהלים צריכים להיות מומחי נושאי אבטחת סייבר פנימיים וחיצוניים (SME). חברות קטנות ובינוניות חיצוניות צריכות לספק ידע מומחה, וחברות קטנות ובינוניות פנימיות צריכות לספק את הידע המוסדי.

אבטחת סייבר: ציווי של מנהיגות

החריצים בשריון של אבטחת הסייבר נוצרים על ידי אנשים. הפיכת הצוות שלך לחלק בלתי נפרד מהפתרון, ולא מהבעיה, היא הדרך היחידה להתמודד עם המציאות הזו. הדירקטוריון נמצא בדרך כלל בראש המבנה הארגוני; כאן צריך להתחיל תשומת לב לכללים החדשים. ועליהם לצייד את העובדים בהכשרה מתמשכת ובטכנולוגיות חדשות.

אחת מחובות הנאמנות החשובות ביותר שיש לדירקטורים ונושאי משרה כיום היא אבטחת סייבר. מועצת המנהלים חייבת להיות בטוחה שההנחיות והנהלים של אבטחת סייבר מבוצעים. מנהיגים חייבים לבסס ולטפח תרבות מודעת לסיכון בכל החברה, המאפשרת קבלת החלטות טובה יותר.

ציות באופק

בין אם נבין זאת או לא, מגזר השירותים הפיננסיים חיוני לכולנו. יש לחזק אותה ולהגן עליה - ועכשיו, לא מאוחר יותר.

לאור עובדה זו נוצרות תקנות חדשות, והציות אינן אופציונליות. חברות חייבות להתאים את המדיניות והנהלים שלהן עם ה-SEC וגופים רגולטוריים בינלאומיים אחרים על מנת להפוך את העולם הדיגיטלי לבטוח יותר עבור משקיעים וצרכנים כאחד.

אודות המחבר: