Одно из самых значительных событий в области кибербезопасности в истории индустрии финансовых услуг вот-вот произойдет в виде новых законодательных положений.
SEC предложила новые правила кибербезопасности, которые повлияют на бизнес FS
Новые правила Комиссии по ценным бумагам и биржам США (SEC) окажут значительное влияние на предприятия, предоставляющие финансовые услуги, и могут оказать глубокое влияние на культуру кибербезопасности после их принятия.
Новое предложение SEC
Новое предложение SEC потребует полной прозрачности и подотчетности в области кибербезопасности на самом высоком уровне бизнес-руководства, включая советы директоров, для всех публичных компаний. Он обяжет предприятия сообщать о значительных событиях в области кибербезопасности в своей форме 8-K.
Они также должны раскрывать политику и практику компании по управлению рисками кибербезопасности, а также то, как руководство участвует в их реализации.
Процесс, который совет директоров компании использует для наблюдения за рисками кибербезопасности, а также опыт любого члена совета директоров в области кибербезопасности, также должны быть раскрыты.
Это предложение будет иметь большое значение для того, чтобы помочь рискам и стратегии кибербезопасности стать обсуждением на уровне совета директоров — давно необходимое развитие. Это также поможет увеличить расходы предприятий на кибербезопасность и повысить спрос на знания в области кибербезопасности на уровне совета директоров. Это также подчеркнет важность включения директоров по информационной безопасности в эти обсуждения и решения на уровне совета директоров.
Копаемся в деталях
23 марта 2022 года Комиссия по ценным бумагам и биржам выдвинула предложение по улучшению и стандартизации раскрытия информации публичными компаниями, которое требуется для соблюдения требований к отчетности Закона о ценных бумагах и биржах 1934 года. Требования касаются управления рисками кибербезопасности, стратегии, управления и отчет об инцидентах. Необходимо будет сообщать о существенных событиях кибербезопасности, политиках и процедурах кибербезопасности необходимо будет раскрывать на регулярной основе, а совету директоров необходимо будет осуществлять надзор за рисками кибербезопасности.
Когда финансовое учреждение приходит к выводу, что у него произошел серьезный инцидент кибербезопасности после того, как эти требования SEC станут законом, у него есть четыре рабочих дня, чтобы сообщить об этом. Отчет по форме 8-K, который предприятия должны представить в SEC, чтобы объявить о значительных событиях, о которых должны знать акционеры, необходимо будет изменить в рамках процесса раскрытия информации. Новый план также требует раскрытия ряда ранее не зарегистрированных отдельных инцидентов кибербезопасности, которые в совокупности имеют серьезные последствия.
Ваша политика обнажена
Новый план управления рисками, раскрытие информации о стратегии и руководстве имеет даже большее значение, чем раздел отчета об инцидентах в предложении. Политика и практика управления рисками кибербезопасности государственной корпорации будут раскрыты в этом разделе предложения. Компании также должны раскрывать информацию о том, как совет директоров наблюдает за рисками кибербезопасности.
Кроме того, компании должны раскрывать роль исполнительного руководства в оценке риска кибербезопасности и выполнении политики и процедур фирмы. Этот процесс подобен размещению «табель успеваемости» организации в Интернете для всеобщего ознакомления и комментариев.
В соответствии с новым регламентом компании должны раскрывать свои политики и процессы для выявления и управления рисками кибератак. Если их нет, SEC заметит это, и это может привести к серьезным последствиям, таким как штрафы и пени за несоблюдение. Компании также должны будут указать, является ли кибербезопасность частью их корпоративной стратегии, финансового планирования и распределения капитала.
И последнее, но не менее важное: новый регламент требует, чтобы все члены совета директоров, обладающие опытом в области кибербезопасности, заявляли об этом в годовом отчете и некоторых доверенных лицах. В состав совета директоров должны входить как внутренние, так и внешние эксперты в области кибербезопасности (SME). Внешние МСП должны предоставлять специальные знания, а внутренние МСП должны предоставлять институциональные знания.
Кибербезопасность: императив руководства
Щели в броне кибербезопасности создают люди. Сделать ваших сотрудников неотъемлемой частью решения, а не проблемы, — единственный способ справиться с этой реальностью. Совет директоров обычно находится на вершине организационной структуры; именно здесь нужно начинать внимание к новым правилам. И они должны обеспечивать сотрудников постоянным обучением и новыми технологиями.
Одним из наиболее важных фидуциарных обязательств, которые сегодня несут директора и должностные лица, является кибербезопасность. Правление должно быть уверено в том, что соблюдаются руководящие принципы и методы кибербезопасности. Руководители должны создать и развивать культуру осознания рисков во всей компании, которая позволяет принимать более эффективные решения.
Соответствие на горизонте
Осознаем мы это или нет, но сектор финансовых услуг важен для всех нас. Его нужно укреплять и защищать – и сейчас, а не потом.
В свете этого факта возникают новые правила, и их соблюдение не является обязательным. Компании должны согласовать свою политику и процедуры с SEC и другими международными регулирующими органами, чтобы сделать цифровой мир более безопасным как для инвесторов, так и для потребителей.
Об авторе:
Майкл Браун — полевой директор по информационным технологиям в сфере финансовых услуг в компании Fortinet, занимающейся кибербезопасностью.
Он специализируется на правилах кибербезопасности, влиянии ESG, SD-WAN, SD-Branch, Zero Trust, безопасности электронной торговли с малой задержкой, SASE и мультиоблачных решениях.
- финансовый муравей
- Банковские технологии
- блокчейн
- блокчейн конференция финтех
- перезвон финтех
- coinbase
- Coingenius
- Соответствие закону
- крипто конференция финтех
- Информационная безопасность
- Анализ данных
- Интернет
- Финансовые услуги / Финсерв
- FinTech
- Финтех инновации
- Fortinet
- OpenSea
- PayPal
- PayTech
- платный путь
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- ПлатонДанные
- платогейминг
- razorpay
- Reporting
- Revolut
- Ripple
- управление рисками
- квадратный финтех
- полоса
- тенсент финтех
- ксеро
- зефирнет
