Szybki postęp technologiczny w ostatnich latach doprowadził do wzrostu liczby incydentów związanych z cyberbezpieczeństwem dla ogółu społeczeństwa. Uznając znaczenie przejrzystego i terminowego zgłaszania takich incydentów, amerykańska Komisja Papierów Wartościowych i Giełd (SEC) ogłosiła 26 lipca 2023 r., iż przyjęła ostateczne zasady dotyczące wymagań ujawniania informacji dotyczących cyberbezpieczeństwa dla spółek publicznych. Zasady te nakazują ujawnianie istotnych incydentów związanych z cyberbezpieczeństwem oraz informacji związanych z zarządzaniem ryzykiem cybernetycznym, strategią i ochroną danych.
Kluczowe informacje
Poniżej przedstawiamy streszczenie informacji wynikających z nowych przepisów Stanów Zjednoczonych:
- Terminowe zgłaszanie incydentów: nowy punkt 1.05 formularza 8-K wymaga zgłaszania istotnych incydentów związanych z cyberbezpieczeństwem w ciągu czterech dni roboczych, promując szybką przejrzystość. Nieterminowe złożenie wniosku nie wpłynie na uprawnienia do formularza S-3.
- Ograniczone opóźnienie w zgłoszeniu ze względów bezpieczeństwa: możliwe opóźnienie w ujawnieniu zagrożeń dla bezpieczeństwa narodowego za zgodą Prokuratora Generalnego USA, do 120 dni za zgodą SEC.
- Kompleksowe ujawnianie incydentów: niekompletne dane z formularza 8-K wymagają potwierdzenia i złożenia późniejszych poprawek, co zmniejsza nadmiarowość.
- Poszerzona definicja incydentu: ostateczne zasady rozszerzają „incydent związany z cyberbezpieczeństwem” o powiązane nieautoryzowane zdarzenia, aby uzyskać bardziej całościowy obraz.
- Roczna sprawozdawczość na temat ryzyka (formularz 10-K): począwszy od rocznych sprawozdań za lata obrotowe kończące się 15 grudnia 2023 r. lub później, pozycja 106 Rozporządzenia S-K nakazuje coroczną sprawozdawczość na temat ryzyka cyberbezpieczeństwa, strategii, zarządzania, nadzoru nad zarządem – bez obowiązku ujawniania członków zarządu.
- Zagraniczni emitenci prywatni: zasady wymagają porównywalnych ujawnień przez zagranicznych emitentów prywatnych na formularzu 6-K w przypadku istotnych incydentów związanych z cyberbezpieczeństwem oraz na formularzu 20-F w zakresie zarządzania ryzykiem cybernetycznym, strategii i zarządzania.
- Harmonogram zgodności: obowiązuje 30 dni po opublikowaniu Rejestru Federalnego. Terminy będą się różnić w zależności od wielkości firmy.
Dodatkowe szczegóły
Formularz 8-K: Zgłaszanie incydentów
Sfinalizowane zasady wprowadzają kluczową zmianę w procesie ujawniania informacji. Nowy wymóg zobowiązuje do zgłaszania istotnych incydentów cyberbezpieczeństwa w ciągu czterech dni roboczych od stwierdzenia przez firmę, iż incydent jest istotny (nie od daty wykrycia incydentu). Chociaż zakres ujawnień został doprecyzowany, widoczne są pewne znaczące odstępstwa od proponowanych zasad.
Ograniczone opóźnienie w raportowaniu
W przypadkach, w których ujawnienie incydentów cyberbezpieczeństwa mogłoby potencjalnie zagrozić bezpieczeństwu narodowemu lub bezpieczeństwu publicznemu, dopuszczalna jest zwłoka w zgłoszeniu. Opóźnienie to zależy jednak od decyzji Prokuratora Generalnego Stanów Zjednoczonych i nie może wykraczać poza określony czas, zwykle ograniczony do 120 dni. Takie przedłużenia wymagają zatwierdzenia przez SEC w drodze nakazu wyłączającego.
Zaktualizowane ujawnienia incydentów
Jeśli informacje wymagane do ujawnienia w formularzu 8-K nie są jeszcze możliwe do ustalenia lub niedostępne w momencie składania wniosku, firma musi potwierdzić ten fakt w formularzu 8-K, a następnie złożyć poprawkę w ciągu czterech dni roboczych po otrzymaniu brakujących informacji. Warto zauważyć, iż kolejne okresowe zgłoszenia nie będą wymagały aktualizacji w oparciu o te informacje.
Agregacja incydentów
Koncepcja agregowania incydentów cyberbezpieczeństwa jest godną uwagi zmianą w stosunku do proponowanych przepisów. O ile pominięto wymóg ujawniania indywidualnie nieistotnych incydentów, ostateczne zasady obejmują szerszą definicję incydentu cyberbezpieczeństwa. Zgodnie z SEC Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure definicja ta obejmuje „serię powiązanych nieautoryzowanych zdarzeń”, umożliwiając pełniejszy przegląd ujawnień związanych z incydentami.
Formularz 10-K: Cybersecurity Risk Management, Strategy, and Governance
Opierając się na proponowanych zasadach, sfinalizowane przepisy wprowadzają pozycję 106 do rozporządzenia S-K. Nakazuje ona coroczne raportowanie określonych aspektów bezpieczeństwa cybernetycznego, w tym zarządzania ryzykiem, strategii, ładu korporacyjnego oraz nadzoru zarządu nad zagrożeniami cybernetycznymi. Odejściem od pierwotnej propozycji jest jednak to, iż ostateczne zasady nie wymagają ujawnienia wiedzy specjalistycznej członków zarządu w zakresie cyberbezpieczeństwa.
Data wejścia w życie i czas osiągnięcia zgodności
Harmonogram zgodności różni się w zależności od rodzaju ujawnienia i wielkości firmy raportującej:
- Firmy, z wyłączeniem mniejszych spółek raportujących, muszą podporządkować się zasadom w ciągu 90 dni od publikacji komunikatu o przyjęciu lub do 18 grudnia 2023 r., w zależności od tego, co nastąpi później.
- Mniejsze spółki raportujące mają 270 dni od publikacji zgody na adopcję lub do 24 czerwca 2024 r. na zastosowanie się do punktu 1.05 formularza 8-K.
- W przypadku pozycji 106 Rozporządzenia S-K wszystkie spółki muszą rozpocząć sporządzanie sprawozdań rocznych za lata obrotowe kończące się 15 grudnia 2023 r. lub później.
- Wymogi dotyczące danych strukturalnych mają zastosowanie do wszystkich firm rok po początkowej dacie zgodności dla odpowiedniego ujawnienia.
Podsumowanie
Nowe zasady bezpieczeństwa cybernetycznego SEC stanowią kamień milowy w zwiększaniu przejrzystości i odpowiedzialności w obliczu rosnących zagrożeń cyberbezpieczeństwa. Zasady te nakazują terminowe zgłaszanie istotnych incydentów i dostarczanie kompleksowych informacji na temat zarządzania ryzykiem cybernetycznym przez spółki giełdowe.
W czasie gdy firmy będą przygotowywać się do przestrzegania tych przepisów, krajobraz ujawniania informacji o cyberbezpieczeństwie w świecie korporacyjnym ulegnie transformacji poprzez promowanie świadomych interesariuszy i solidnych praktyk zarządzania ryzykiem.
Przemyślane zaostrzanie przepisów odnoszących się do raportowania o incydentach jest zawsze na plus dla ogółu społeczeństwa.