米証券取引委員会は、上場企業に対し、サイバー攻撃が重大なインシデントであると判断してから4営業日以内に開示することを義務付ける新たな規則を採用した。
ウォール街の監視機関によると、重大な事件とは、上場企業の株主が重要だと考える事件のことだという。
SECはまた、サイバーセキュリティ侵害後に外国の民間発行会社に同等の開示を義務付ける新たな規制も導入した。
「企業が火災で工場を失ったか、あるいはサイバーセキュリティ事故で何百万ものファイルを失ったかは、投資家にとって重要かもしれない。現在、多くの上場企業が投資家にサイバーセキュリティの開示を行っている」とSEC委員長のゲイリー・ゲンスラー氏は本日 述べた。
「しかし、この開示がより一貫性があり、比較可能で、意思決定に役立つ方法で行われれば、企業も投資家も同様に利益を得られると思います。企業が重要なサイバーセキュリティ情報を開示することを保証することを通じて、今日の規則は投資家、企業、そして意思決定に役立つものとなるでしょう」それらをつなぐ市場。」
上場企業は現在、定期報告書、特に 8-K フォームにサイバー攻撃に関する詳細 (インシデントの性質、範囲、タイミングを含む) を記載する必要があります。
これらの新しいサイバーセキュリティインシデント報告規則は、12 月に発効する予定です。ただし、小規模企業には Form 8-K の開示が求められるまでにさらに 180 日間の猶予が与えられます。
場合によっては、即時開示が国家安全保障または公共の安全に重大なリスクをもたらすと米国司法長官が判断した場合、開示スケジュールが延期されることもあります。
透明性を高めるための適時開示
本日の発表は、1年以上前にSECによって明らかにされたこれらの新しい規則を2022年3月に採用する計画に続くものです。
新しい規則 (PDF ) は、上場企業に影響を与えるセキュリティインシデントについて投資家に迅速な通知を提供し、サイバーセキュリティのリスク管理と戦略に対する理解を深めます。
これらは、以下の違反関連情報の開示を要求しています (フォーム 8-K の提出時に入手可能である場合に限ります)。
- 発見日とインシデントのステータス (進行中または解決済み)。
- インシデントの性質と程度の簡潔な説明。
- 許可なく侵害、変更、アクセス、または使用された可能性のあるデータ。
- 事件が会社の経営に及ぼす影響。
- 会社による進行中または完了した修復作業に関する情報。
ただし、影響を受ける企業は、インシデント対応計画の技術的な詳細や、対応や修復措置に影響を与える可能性のある潜在的な脆弱性の詳細を開示することは期待されていません。
ムーディーズ・インベスターズ・サービスの上級副社長、レスリー・リッター氏によると、新規則は透明性を高めるが、中小企業にとっては困難になる可能性が高いという。
「米国証券取引委員会が今日初めに採用したサイバーセキュリティ開示規則は、不透明だが増大するリスクに対する透明性を高め、一貫性と予測可能性を高めるだろう」とリッター氏は語った。
「開示の増加は、企業が慣行を比較するのに役立ち、サイバー防御の改善に拍車をかける可能性がありますが、リソースが限られている中小企業にとって、新しい開示基準を満たすことはより大きな課題になる可能性があります。」
Comments