Одна з найважливіших подій у сфері кібербезпеки в історії має статися для індустрії фінансових послуг у формі нових законодавчих норм.
SEC запропонувала нові правила кібербезпеки, які вплинуть на бізнес FS
Нові правила Комісії з цінних паперів і бірж США (SEC) матимуть значний вплив на компанії, які надають фінансові послуги, і можуть серйозно вплинути на культуру кібербезпеки після їх прийняття.
Нова пропозиція SEC
Нова пропозиція SEC передбачає повну прозорість кібербезпеки та підзвітність на найвищому рівні керівництва бізнесом, включаючи ради директорів, для всіх публічних компаній. Він зобов’язує компанії повідомляти про значні події кібербезпеки у своїй формі 8-K.
Вони також повинні розкривати політику та практику компанії щодо управління ризиками кібербезпеки, а також те, як керівництво бере участь у їх реалізації.
Необхідно також розкрити процес, який рада директорів компанії використовує для нагляду за ризиками кібербезпеки, а також знання будь-якого члена ради з кібербезпеки.
Ця пропозиція значною мірою сприятиме тому, щоб ризики та стратегія кібербезпеки стали обговоренням на рівні правління – це давно потрібна розробка. Це також допоможе збільшити витрати підприємств на кібербезпеку та збільшити попит на знання з кібербезпеки на рівні правління. І це також підкреслить важливість залучення CISO до цих розмов і рішень на рівні правління.
Копання в деталях
23 березня 2022 року SEC висунула пропозицію щодо вдосконалення та стандартизації розкриття інформації державними компаніями, які зобов’язані відповідати вимогам щодо звітності Закону про біржі цінних паперів 1934 року. Вимоги стосуються управління ризиками кібербезпеки, стратегії, управління та повідомлення про інцидент. Необхідно повідомляти про важливі події кібербезпеки, регулярно розкривати політику та процедури кібербезпеки, а рада директорів повинна контролювати ризики кібербезпеки.
Якщо фінансова установа дійшла висновку, що у них стався серйозний інцидент із кібербезпекою після того, як ці вимоги SEC набули чинності законом, вона має чотири робочі дні, щоб розкрити це. Звіт за формою 8-K, який підприємства повинні подавати до SEC, щоб оголосити про важливі події, про які повинні знати акціонери, потребує внесення змін у рамках процесу розкриття інформації. Новий план також передбачає розкриття низки раніше незареєстрованих окремих інцидентів кібербезпеки, які, разом узяті, мають серйозні наслідки.
Ваша політика оголена
Новий план щодо управління ризиками, стратегії та розкриття інформації про управління є навіть важливішим, ніж розділ звітності про інциденти в пропозиції. У цьому розділі пропозиції буде розкрито політику та практику управління ризиками кібербезпеки державної корпорації. Компанії також повинні розкривати, як рада директорів контролює ризики кібербезпеки.
Крім того, компанії повинні розкривати роль виконавчого керівництва в оцінці ризиків кібербезпеки та виконанні політики та процедур фірми. Цей процес схожий на розміщення «табелю» організації в Інтернеті для загального перегляду та коментарів.
Згідно з новою постановою, компанії повинні розкривати свою політику та процеси для виявлення та управління ризиками від атак на кібербезпеку. Якщо їх немає, SEC візьме це до уваги, і це може призвести до серйозних наслідків, таких як штрафи та покарання за невиконання. Компанії також повинні будуть повідомити, чи є кібербезпека частиною їхньої корпоративної стратегії, фінансового планування та розподілу капіталу.
І останнє, але не менш важливе: нове положення зобов’язує будь-якого члена правління, який має досвід роботи з кібербезпеки, заявляти про це в річному звіті та деяких заявах про доручення. Рада повинна мати як внутрішніх, так і зовнішніх експертів з кібербезпеки (SMEs). Зовнішні МСП повинні надавати спеціальні знання, а внутрішні МСП повинні надавати інституційні знання.
Кібербезпека: імператив лідерства
Щілини в броні кібербезпеки створюють люди. Зробити ваш персонал невід’ємною частиною вирішення, а не проблеми – це єдиний спосіб впоратися з цією реальністю. Рада директорів зазвичай є верхівкою організаційної структури; саме звідси потрібно звернути увагу на нові правила. І вони повинні забезпечити співробітників постійним навчанням і новими технологіями.
Одне з найважливіших фідуціарних зобов’язань, які сьогодні мають директори та посадові особи, – це кібербезпека. Правління має бути впевненим, що вказівки та методи кібербезпеки дотримуються. Керівники повинні створити та плекати культуру усвідомлення ризиків у всій компанії, що дозволяє краще приймати рішення.
Відповідність на горизонті
Усвідомлюємо ми це чи ні, але сектор фінансових послуг є важливим для всіх нас. Його треба зміцнювати і захищати – і зараз, не потім.
У зв’язку з цим з’являються нові правила, дотримання яких не є обов’язковим. Компанії повинні узгодити свою політику та процедури з SEC та іншими міжнародними регуляторними органами, щоб зробити цифровий світ безпечнішим як для інвесторів, так і для споживачів.
Про автора:
Майкл Браун є польовим CISO для фінансових послуг у фірмі з кібербезпеки Fortinet.
Він спеціалізується на нормах кібербезпеки, впливі ESG, SD-WAN, SD-Branch, Zero Trust, безпеці електронної торгівлі з низькою затримкою, SASE та мультихмарних рішеннях.
- мураха фінансовий
- Банківська техніка
- blockchain
- блокчейн конференція фінтех
- дзвінок фінтех
- coinbase
- coingenius
- дотримання
- крипто конференція фінтех
- Кібербезпека
- Analytics даних
- цифровий
- Фінансові послуги/Фінсерв
- FinTech
- фінтех-інновації
- Fortinet
- OpenSea
- PayPal
- paytech
- оплата
- plato
- платон ai
- Інформація про дані Платона
- PlatoData
- platogaming
- розорплата
- Звітність
- Revolut
- Пульсація
- управління ризиками
- квадратний фінтех
- полоса
- Tencent Fintech
- ксеро
- зефірнет
