Η αμερικανική Επιτροπή Κεφαλαιαγοράς ενέκρινε κανόνες που απαιτούν από τις εισηγμένες να αποκαλύπτουν, εντός τεσσάρων ημερών, όλες τις παραβιάσεις κυβερνοασφάλειας που θα μπορούσαν να επηρεάσουν τα αποτελέσματα τους.
Οι νέοι κανόνες απαιτούν, επίσης, από τις εισηγμένες εταιρείες να αποκαλύπτουν ετησίως πληροφορίες, σε σχέση με τη διαχείριση των κυβερνοκινδύνων και την τεχνογνωσία που διαθέτουν στον συγκεκριμένο τομέα. Στόχος είναι η προστασία του επενδυτικού κοινού.
Οι σχετικές αποκαλύψεις μπορεί να καθυστερήσουν εάν ο Γενικός Εισαγγελέας των ΗΠΑ αποφασίσει ότι «θα αποτελούσαν σημαντικό κίνδυνο για την εθνική ή τη δημόσια ασφάλεια» και ειδοποιήσει εγγράφως την SEC. Μόνο υπό έκτακτες περιστάσεις, η καθυστέρηση θα μπορούσε να παραταθεί πέραν των 60 ημερών.
«Είτε μια εταιρεία χάσει ένα εργοστάσιο σε μια πυρκαγιά, είτε εκατομμύρια αρχεία σε ένα περιστατικό ασφάλειας στον κυβερνοχώρο, αυτό μπορεί να είναι σημαντικό για τους επενδυτές», δήλωσε ο πρόεδρος της SEC, Gary Gensler.
Οι κανόνες θα προσφέρουν περισσότερη διαφάνεια και μπορεί να οδηγήσουν σε βελτιώσεις στην κυβερνοάμυνα – αν και δυνητικά, σύμφωνα με πηγές της αγοράς, θα αποτελέσουν πρόκληση για τις μικρότερες εταιρείες, που έχουν στη διάθεση τους περιορισμένους πόρους.
Τεχνικά, η αντίστροφη μέτρηση για την προθεσμία των τεσσάρων ημερών, σε σχέση με την υποβολή αναφορών, δεν θα ξεκινά, έως ότου οι εταιρείες διαπιστώσουν ότι η εκάστοτε παραβίαση είναι σημαντική.
Οι κανόνες προτάθηκαν για πρώτη φορά τον Μάρτιο του 2022, όταν η SEC διαπίστωσε ότι οι παραβιάσεις των εταιρικών δικτύων αποτελούσαν έναν αυξανόμενο κίνδυνο, καθώς η ψηφιοποίηση των λειτουργιών και η απομακρυσμένη εργασία συνεχώς αυξανόταν – όπως και το κόστος για τους επενδυτές από σχετικά περιστατικά.
Ενώ ορισμένοι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας και όλοι οι πάροχοι υγειονομικής περίθαλψης καλούνται, βάσει νόμου, να αναφέρουν τις παραβιάσεις, δεν υπάρχει ομοσπονδιακός νόμος στις Ηνωμένες Πολιτείες περί αποκάλυψης περιστατικών.