En av de viktigste cybersikkerhetshendelsene i historien er i ferd med å skje for finansnæringen i form av nye lovbestemmelser.
SEC har foreslått nye cybersikkerhetsforskrifter som vil påvirke FS-bedrifter
Nye regler fra US Securities and Exchange Commission (SEC) vil ha en betydelig innvirkning på virksomheter som leverer finansielle tjenester og kan ha en dyp innvirkning på cybersikkerhetskulturen når de er vedtatt.
SECs nye forslag
Det nye SEC-forslaget vil kreve fullstendig cybersikkerhetstransparens og ansvarlighet på det høyeste nivået av bedriftslederskap – inkludert styrene – for alle offentlig eide selskaper. Det vil gi mandat at bedrifter rapporterer betydelige cybersikkerhetshendelser på skjemaet 8-K.
De må også avsløre selskapets retningslinjer og praksis for håndtering av cybersikkerhetsrisikoer, samt hvordan ledelsen deltar i implementeringen av dem.
Prosessen som selskapets styre bruker for å overvåke cybersikkerhetsrisiko, samt ethvert styremedlems cybersikkerhetsekspertise, må også offentliggjøres.
Dette forslaget vil langt på vei hjelpe cybersikkerhetsrisiko og strategi til å bli en samtale på styrenivå – en utvikling som lenge har vært nødvendig. Det vil også bidra til å øke bedriftens utgifter til cybersikkerhet og øke etterspørselen etter cybersikkerhetskunnskap på styrenivå. Og det vil også understreke viktigheten av å inkludere CISOer i disse samtalene og beslutningene på styrenivå.
Graver i detaljene
23. mars 2022 fremmet SEC et forslag om å forbedre og standardisere avsløringene fra offentlige foretak som er pålagt å overholde rapporteringskravene i Securities Exchange Act av 1934. Kravene refererer til cybersikkerhetsrisikostyring, strategi, styring og hendelsesrapportering. Vesentlige cybersikkerhetshendelser må rapporteres, cybersikkerhetspolicyer og prosedyrer må offentliggjøres regelmessig, og styret må overvåke cybersikkerhetsrisiko.
Når en finansinstitusjon konkluderer med at de har hatt en betydelig cybersikkerhetshendelse etter at disse SEC-kravene ble lov, har de fire virkedager på seg til å avsløre det. Form 8-K-rapporten – som bedrifter må sende inn til SEC for å kunngjøre viktige hendelser som aksjonærene trenger å vite om – må endres som en del av offentliggjøringsprosessen. Den nye planen krever også avsløring av en rekke tidligere urapporterte individuelle cybersikkerhetshendelser som samlet sett har alvorlige konsekvenser.
Din politikk er avslørt
Den nye planen for risikostyring, strategi og styringsavsløring er enda viktigere enn forslagets avsnitt om hendelsesrapportering. Retningslinjer og praksis for håndtering av nettsikkerhetsrisiko for et offentlig selskap vil bli synliggjort via denne delen av forslaget. Selskaper må også opplyse om hvordan styret fører tilsyn med cybersikkerhetsrisiko.
I tillegg må selskaper avsløre ledelsens rolle i å evaluere cybersikkerhetsrisiko og utføre selskapets retningslinjer og prosedyrer. Denne prosessen ligner på å legge ut en organisasjons "rapportkort" på nettet for offentlig gjennomgang og kommentarer.
I henhold til den nye forordningen må selskaper offentliggjøre sine retningslinjer og prosesser for å identifisere og håndtere risikoer fra cybersikkerhetsangrep. Hvis ingen er på plass, vil SEC merke det, og det kan føre til store konsekvenser, for eksempel bøter og straffer for manglende overholdelse. Bedrifter må også si om cybersikkerhet er en del av deres bedriftsstrategi, finansplanlegging og kapitalallokering.
Sist, men ikke minst, gir den nye forskriften mandat til at styremedlemmer som besitter cybersikkerhetskompetanse, må oppgi det i årsrapporten og noen fullmaktserklæringer. Styret bør ha både interne og eksterne fageksperter på nettsikkerhet (SMB). Eksterne SMB skal gi spesialistkunnskap, og interne SMB skal levere den institusjonelle kunnskapen.
Cybersikkerhet: et imperativ for ledelse
Knekkene i cybersikkerhetens rustning er skapt av mennesker. Å gjøre de ansatte til en integrert del av løsningen, snarere enn problemet, er den eneste måten å håndtere denne virkeligheten på. Styret er typisk øverst i organisasjonsstrukturen; det er her oppmerksomheten til de nye reglene må begynne. Og de må utstyre ansatte med kontinuerlig opplæring og nye teknologier.
En av de viktigste tillitsforpliktelsene som direktører og offiserer har i dag er cybersikkerhet. Styret må være sikker på at retningslinjer og praksis for cybersikkerhet blir fulgt. Ledere må etablere og pleie en risikobevisst kultur i hele selskapet, som muliggjør bedre beslutningstaking.
Overholdelse i horisonten
Enten vi innser det eller ikke, er finanssektoren viktig for oss alle. Den må styrkes og beskyttes – og nå, ikke senere.
Nye forskrifter oppstår i lys av dette faktum, og etterlevelse er ikke valgfritt. Bedrifter må tilpasse sine retningslinjer og prosedyrer med SEC og andre internasjonale reguleringsorganer for å gjøre den digitale verden tryggere for både investorer og forbrukere.
Om forfatteren:
Michael Brown er felt-CISO for finansielle tjenester hos cybersikkerhetsfirmaet Fortinet.
Han spesialiserer seg på cybersikkerhetsreguleringer, ESG-påvirkning, SD-WAN, SD-Branch, Zero Trust, elektronisk handelssikkerhet med lav latens, SASE og multiskyløsninger.
- maur økonomisk
- BankTech
- blockchain
- blockchain konferanse fintech
- klokkespill fintech
- coinbase
- coingenius
- samsvar
- kryptokonferanse fintech
- Cybersecurity
- Data Analytics
- digitalt
- Finansielle tjenester / Finserv
- fintech
- fintech innovasjon
- Fortinet
- OpenSea
- PayPal
- paytech
- utbetalingsvei
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Rapportering
- Revolut
- Ripple
- risikostyring
- firkantet fintech
- stripe
- tencent fintech
- Xero
- zephyrnet
