Divulgation de cybersécurité de la SEC : Exigences et implications
3 sept. 2023
Interlynk
La gestion des risques de cybersécurité, la stratégie, les incidents et la gouvernance peuvent avoir un impact significatif sur la valeur d'une entreprise. Une divulgation moins qu'organisée peut frustrer les investisseurs, comme cela a été précédemment constaté avec des incidents de sécurité chez Equifax, Target, Yahoo! et SolarWinds.
La Commission des valeurs mobilières des États-Unis (SEC) a enfin formalisé et mis en motion des exigences de reporting standardisées pour les entreprises publiques américaines et des exigences de reporting comparables pour les émetteurs privés étrangers (entreprises non américaines faisant des affaires aux États-Unis).
Les exigences visent à rendre les divulgations d'une manière « cohérente, comparable et utile à la décision ».
Explorons cela!
Qui est touché ?
Tous les sujets des exigences de rapport de la loi sur les valeurs mobilières de 1934 sont affectés par ce changement. Cela inclut toutes les entreprises publiques, les émetteurs privés étrangers, les petites entreprises de rapport et les sociétés de développement commercial.
Quelles sont les exigences de reporting
Les quatre exigences essentielles en matière de rapport sont :
Divulgation des Incidents de Cybersécurité
Ce changement nécessite de rapporter tout incident de cybersécurité "matériel" à la SEC. Cela doit être signalé sur le Formulaire 8-K dans les quatre jours ouvrables suivant la "détermination de la matérialité." Le dépôt doit inclure :
Nature, portée et timing de l'incident
Estimation "raisonnablement probable" de l'impact matériel, y compris la prise en compte des facteurs qualitatifs et quantitatifs
Si certaines informations ne sont pas disponibles lors du dépôt, le 8-K peut divulguer la non-disponibilité et être ultérieurement amendé lorsque l'information est disponible. Les règles ne requièrent pas la divulgation de détails techniques, de l'état de la remédiation ou de l'état de compromission des données.
Gestion et Stratégie des Risques de Cybersécurité
Ce changement nécessite de reporter toute (ou le besoin d') évaluation, identification et processus de gestion pour traiter les menaces de cybersécurité matérielles. Cela doit être divulgué sur le Formulaire 10-K (ou le Formulaire 20-F) chaque année, et le dépôt doit inclure ce qui suit :
Si la cybersécurité fait partie du système global de gestion des risques de l'organisation
Si les processus incluent l'utilisation d'évaluateurs, de consultants, d'auditeurs ou de tiers pour ces processus
Si toute évaluation des risques par des tiers inclut l'évaluation des risques de cybersécurité
Si les menaces de cybersécurité ont affecté matériellement ou sont raisonnablement susceptibles d'affecter la stratégie commerciale, les opérations ou les conditions financières
Gouvernance du Conseil et de la Direction
Ce changement nécessite de rapporter la structure de gouvernance en relation avec les risques de cybersécurité sur le Formulaire 10-K (ou le Formulaire 20-F) chaque année, et le dépôt doit inclure ce qui suit :
Détails de la supervision par le conseil des risques de cybersécurité, spécifiquement le comité ou sous-comité du conseil responsable de la supervision et le processus par lequel le conseil est informé des risques.
Rôle de la direction, expertise et processus définis dans l'évaluation et la gestion des menaces de cybersécurité, y compris les détails concernant les expériences pertinentes des membres et des comités, le suivi, la détection, l'atténuation et la remédiation des incidents, ainsi que le processus de notification du conseil d'administration de tels risques.
Quand les exigences prennent-elles effet ?
Les exigences de divulgation des incidents matériels prennent effet à partir du 18 décembre 2023, avec un report de 180 jours pour les petites entreprises de rapport (15 juin 2024).
Les divulgations annuelles de gestion des risques, stratégie et gouvernance entrent en vigueur après le 15 décembre 2023.
Des exceptions ?
La seule exception est si le Procureur Général des États-Unis (le "AG") détermine que la divulgation immédiate représenterait un "risque substantiel pour la sécurité nationale ou la sécurité publique" et en informe la SEC par écrit. Initialement, la divulgation peut être différée jusqu'à 30 jours, comme spécifié par l'AG, et peut être prolongée de 30 jours supplémentaires avec une autre évaluation de l'AG.
La SEC a envoyé des signaux clairs sur ce qu'elle attend comme meilleures pratiques dans une organisation de conformité. Plus précisément :
Gouvernance et supervision en matière de cybersécurité Les entreprises devraient mettre en place une gouvernance et une supervision qui améliorent le niveau de base, y compris l'ajout de membres du conseil et de l'équipe de direction ayant une expertise en cybersécurité, la mise en place de comités pour la supervision et la gestion des incidents, et la formalisation des processus de gestion de la cybersécurité et de reporting au conseil.
Contrôles et processus de divulgation Les exigences de reporting suggèrent de mettre en place un seuil de 'matérialité' à travers les équipes de gestion et de surveillance des incidents de cybersécurité avec une automatisation pour l'évaluation de l'impact matériel, des processus formalisés pour impliquer les services juridiques, informatiques et d'assistance externe, et des processus formalisés pour notifier et impliquer le conseil si nécessaire.
Mise à jour du plan de réponse aux incidents C'est l'impact le plus évident de la réglementation. Tous les plans de sécurité doivent être mis à jour pour impliquer les services juridiques, tout sous-comité de cybersécurité et obtenir le soutien d'experts tiers. À la lumière des nouvelles exigences de divulgation, les organisations doivent revoir leurs plans pour assurer la conformité et les changements dans le délai disponible (quatre jours).
Interlynk s'efforce de rendre la divulgation de sécurité facile, évidente et automatisée. Nous sommes heureux de répondre à toutes vos questions.
N'hésitez pas à nous contacter à hello@interlynk.io ou via interlynk.io
TABLE DES MATIÈRES