Nowe regulacje prawne zmieniają grę w cyberbezpieczeństwie dla branży FS

Jedno z najważniejszych wydarzeń z zakresu cyberbezpieczeństwa w historii branży usług finansowych niebawem nastąpi w postaci nowych regulacji prawnych.

Nowe przepisy amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC) będą miały znaczący wpływ na firmy świadczące usługi finansowe i mogą mieć głęboki wpływ na kulturę cyberbezpieczeństwa po ich przyjęciu.

Nowa propozycja SEC

Nowa propozycja SEC narzuci pełną przejrzystość i odpowiedzialność w zakresie cyberbezpieczeństwa na najwyższym szczeblu kierownictwa biznesowego – w tym zarządów – dla wszystkich spółek publicznych. Będzie to wymagało, aby firmy zgłaszały znaczące zdarzenia związane z cyberbezpieczeństwem na formularzu 8-K.

Muszą również ujawnić zasady i praktyki firmy w zakresie zarządzania zagrożeniami cyberbezpieczeństwa, a także sposób, w jaki kierownictwo uczestniczy w ich wdrażaniu.

Należy również ujawnić proces stosowany przez zarząd firmy do nadzorowania ryzyka cyberbezpieczeństwa, a także wiedzę specjalistyczną każdego członka zarządu w zakresie cyberbezpieczeństwa.

Ta propozycja znacznie przyczyni się do tego, by ryzyko i strategia cyberbezpieczeństwa stały się rozmową na poziomie zarządu – od dawna potrzebnego rozwoju. Pomoże również zwiększyć wydatki przedsiębiorstw na cyberbezpieczeństwo i zwiększyć popyt na wiedzę o cyberbezpieczeństwie na poziomie zarządu. Podkreśli to również znaczenie włączenia CISO do tych rozmów i decyzji na szczeblu zarządu.

Zagłębianie się w szczegóły

W dniu 23 marca 2022 r. SEC przedstawiła propozycję ulepszenia i ujednolicenia ujawnień dokonywanych przez firmy publiczne, które są zobowiązane do przestrzegania wymogów sprawozdawczych ustawy o giełdach papierów wartościowych z 1934 r. Wymogi te dotyczą zarządzania ryzykiem cyberbezpieczeństwa, strategii, zarządzania i zgłaszanie incydentu. Istotne zdarzenia związane z cyberbezpieczeństwem musiałyby być zgłaszane, zasady i procedury dotyczące cyberbezpieczeństwa musiałyby być regularnie ujawniane, a rada nadzorcza musiałaby nadzorować ryzyko związane z cyberbezpieczeństwem.

Gdy instytucja finansowa stwierdzi, że po wejściu w życie tych wymogów SEC miała poważny incydent cyberbezpieczeństwa, ma cztery dni robocze na ujawnienie tego. Raport Form 8-K – który firmy muszą złożyć do SEC w celu ogłoszenia ważnych wydarzeń, o których akcjonariusze muszą wiedzieć – będzie musiał zostać poprawiony w ramach procesu ujawniania. Nowy plan nakazuje również ujawnienie szeregu wcześniej niezgłoszonych indywidualnych incydentów cyberbezpieczeństwa, które razem wzięte mają poważne konsekwencje.

Twoje zasady obnażone

Nowy plan zarządzania ryzykiem, strategii i ujawniania informacji zarządczych jest nawet ważniejszy niż część dotycząca zgłaszania incydentów we wniosku. Zasady i praktyki zarządzania ryzykiem cybernetycznym w korporacji publicznej zostaną przedstawione w tej części wniosku. Firmy muszą również ujawnić, w jaki sposób zarząd nadzoruje ryzyko cyberbezpieczeństwa.

Ponadto firmy muszą ujawnić rolę kierownictwa wykonawczego w ocenie ryzyka cyberbezpieczeństwa oraz realizacji polityk i procedur firmy. Proces ten jest podobny do publikowania online „karty raportu” organizacji w celu publicznego przeglądu i komentarza.

Zgodnie z nowym rozporządzeniem firmy muszą ujawnić swoje polityki i procesy identyfikacji i zarządzania ryzykiem ataków cyberbezpieczeństwa. Jeśli żaden nie zostanie wprowadzony, SEC odnotuje to, co może skutkować poważnymi konsekwencjami, takimi jak grzywny i kary za nieprzestrzeganie przepisów. Firmy będą również musiały powiedzieć, czy cyberbezpieczeństwo jest częścią ich strategii korporacyjnej, planowania finansowego i alokacji kapitału.

Co nie mniej ważne, nowe rozporządzenie nakazuje, aby każdy członek zarządu, który posiada wiedzę z zakresu cyberbezpieczeństwa, zadeklarował to w raporcie rocznym i niektórych oświadczeniach pełnomocników. W skład rady powinni wchodzić zarówno wewnętrzni, jak i zewnętrzni eksperci w dziedzinie cyberbezpieczeństwa (MŚP). Zewnętrzne MŚP powinny dostarczać wiedzę specjalistyczną, a wewnętrzne MŚP powinny dostarczać wiedzę instytucjonalną.

Cyberbezpieczeństwo: imperatyw przywództwa

Szczeliny w pancerzu cyberbezpieczeństwa są tworzone przez ludzi. Uczynienie personelu integralną częścią rozwiązania, a nie problemem, jest jedynym sposobem radzenia sobie z tą rzeczywistością. Rada dyrektorów znajduje się zazwyczaj na szczycie struktury organizacyjnej; to tutaj należy zacząć zwracać uwagę na nowe zasady. I muszą wyposażyć pracowników w ciągłe szkolenia i nowe technologie.

Jednym z najważniejszych obowiązków powierniczych, jakie mają dziś dyrektorzy i funkcjonariusze, jest cyberbezpieczeństwo. Zarząd musi mieć pewność, że przestrzegane są wytyczne i praktyki dotyczące cyberbezpieczeństwa. Liderzy muszą ustanowić i pielęgnować w całej firmie kulturę świadomości ryzyka, która umożliwia lepsze podejmowanie decyzji.

Zgodność na horyzoncie

Niezależnie od tego, czy zdajemy sobie z tego sprawę, czy nie, sektor usług finansowych jest dla nas wszystkich kluczowy. Trzeba ją wzmocnić i chronić – i to teraz, nie później.

W związku z tym powstają nowe przepisy, a zgodność nie jest opcjonalna. Firmy muszą dostosować swoje polityki i procedury do SEC i innych międzynarodowych organów regulacyjnych, aby uczynić świat cyfrowy bezpieczniejszym zarówno dla inwestorów, jak i konsumentów.

O autorze:

Michael Brown jest CISO terenowym ds. usług finansowych w firmie Fortinet zajmującej się cyberbezpieczeństwem.

Specjalizuje się w regulacjach dotyczących cyberbezpieczeństwa, wpływie ESG, SD-WAN, SD-Branch, Zero Trust, bezpieczeństwie handlu elektronicznego o niskim opóźnieniu, SASE i rozwiązaniach multi-cloud.