En av de viktigaste cybersäkerhetshändelserna i historien är på väg att inträffa för finansbranschen i form av nya lagstiftningsföreskrifter.
SEC har föreslagit nya cybersäkerhetsbestämmelser som kommer att påverka FS-företag
Nya regler från US Securities and Exchange Commission (SEC) kommer att ha en betydande inverkan på företag som tillhandahåller finansiella tjänster och kan ha en djupgående effekt på cybersäkerhetskulturen när de väl har antagits.
SEC:s nya förslag
Det nya SEC-förslaget kommer att kräva fullständig cybersäkerhetstransparens och ansvarsskyldighet på högsta nivå av företagsledarskap – inklusive styrelserna – för alla offentligt ägda företag. Det kommer att kräva att företag rapporterar betydande cybersäkerhetshändelser på sin Form 8-K.
De måste också avslöja företagets policyer och praxis för att hantera cybersäkerhetsrisker, samt hur ledningen deltar i implementeringen av dem.
Den process som bolagets styrelse använder för att övervaka cybersäkerhetsrisker, samt eventuell styrelseledamots cybersäkerhetsexpertis, måste också avslöjas.
Detta förslag kommer att gå långt för att hjälpa cybersäkerhetsrisk och strategi att bli ett samtal på styrelsenivå – en utveckling som länge behövts. Det kommer också att bidra till att öka företagens utgifter för cybersäkerhet och driva efterfrågan på cybersäkerhetskunskap på styrelsenivå. Och det kommer också att understryka vikten av att inkludera CISO:er i dessa samtal och beslut på styrelsenivå.
Gräver i detaljerna
Den 23 mars 2022 lade SEC fram ett förslag för att förbättra och standardisera offentliggörandet av offentliga företag som är skyldiga att följa rapporteringskraven i Securities Exchange Act från 1934. Kraven avser riskhantering, strategi, styrning och hantering av cybersäkerhet. incidentrapportering. Väsentliga cybersäkerhetshändelser skulle behöva rapporteras, cybersäkerhetspolicyer och förfaranden skulle behöva avslöjas regelbundet och styrelsen skulle behöva övervaka cybersäkerhetsrisker.
När ett finansinstitut konstaterar att de har haft en betydande cybersäkerhetsincident efter att dessa SEC-krav blivit lag, har de fyra arbetsdagar på sig att avslöja det. Form 8-K-rapporten – som företag måste lämna in till SEC för att tillkännage viktiga händelser som aktieägare behöver veta om – kommer att behöva ändras som en del av avslöjandeprocessen. Den nya planen kräver också avslöjande av ett antal tidigare orapporterade enskilda cybersäkerhetsincidenter som sammantaget får allvarliga konsekvenser.
Din politik avslöjad
Den nya planen för riskhantering, strategi och styrning är till och med viktigare än förslagets avsnitt om incidentrapportering. Riktlinjer och praxis för hantering av cybersäkerhetsrisker för ett offentligt företag kommer att avslöjas via detta avsnitt av förslaget. Företag måste också avslöja hur styrelsen övervakar cybersäkerhetsrisker.
Dessutom måste företag avslöja den verkställande ledningens roll i att utvärdera cybersäkerhetsrisker och genomföra företagets policyer och procedurer. Denna process liknar att lägga ut en organisations "rapportkort" online för offentlig granskning och kommentarer.
Enligt den nya förordningen måste företag avslöja sina policyer och processer för att identifiera och hantera risker från cybersäkerhetsattacker. Om ingen är på plats kommer SEC att notera det och det kan leda till stora konsekvenser, såsom böter och straff för bristande efterlevnad. Företag kommer också att behöva säga om cybersäkerhet är en del av deras företagsstrategi, finansiella planering och kapitalallokering.
Sist men inte minst föreskriver den nya förordningen att alla styrelseledamöter som besitter cybersäkerhetsexpertis ska deklarera det i årsredovisningen och vissa fullmaktsutlåtanden. Styrelsen bör ha både interna och externa experter på cybersäkerhetsämnen (SMF). Externa små och medelstora företag bör tillhandahålla specialistkunskap, och interna små och medelstora företag bör tillhandahålla den institutionella kunskapen.
Cybersäkerhet: ett ledarskapskrav
Sprickorna i cybersäkerhetens rustning skapas av människor. Att göra din personal till en integrerad del av lösningen, snarare än problemet, är det enda sättet att hantera denna verklighet. Styrelsen är vanligtvis högst upp i organisationsstrukturen; det är här som uppmärksamheten på de nya reglerna måste börja. Och de måste utrusta de anställda med fortlöpande utbildning och ny teknik.
En av de viktigaste förtroendeskyldigheterna som direktörer och tjänstemän har idag är cybersäkerhet. Styrelsen måste vara säker på att riktlinjer och praxis för cybersäkerhet följs. Ledare måste etablera och vårda en riskmedveten kultur i hela företaget, vilket möjliggör bättre beslutsfattande.
Efterlevnad vid horisonten
Oavsett om vi inser det eller inte, är den finansiella tjänstesektorn viktig för oss alla. Den måste stärkas och skyddas – och nu, inte senare.
Nya regler uppstår mot bakgrund av detta, och efterlevnad är inte frivillig. Företag måste anpassa sina policyer och procedurer med SEC och andra internationella tillsynsorgan för att göra den digitala världen säkrare för både investerare och konsumenter.
Om författaren:
Michael Brown är fält-CISO för finansiella tjänster på cybersäkerhetsföretaget Fortinet.
Han är specialiserad på cybersäkerhetsbestämmelser, ESG-påverkan, SD-WAN, SD-Branch, Zero Trust, elektronisk handelssäkerhet med låg latens, SASE och multimolnlösningar.
- myra finansiellt
- BankingTech
- blockchain
- blockchain konferens fintech
- chime fintech
- coinbase
- coingenius
- Efterlevnad
- kryptokonferens fintech
- Cybersäkerhet
- Data Analytics
- digital
- Finansiella tjänster / Finserv
- fintech
- fintech-innovation
- Fortinet
- OpenSea
- PayPal
- paytech
- payway
- plato
- plato ai
- Platon Data Intelligence
- PlatonData
- platogaming
- razorpay
- Rapportering
- Revolut
- Ripple
- riskhanterings
- fyrkantig fintech
- rand
- tencent fintech
- Xero
- zephyrnet
