Kyberturvallisuusilmoituksia vahvistettaisiin uusilla SEC-ehdotuksilla

Julkisten yritysten kyberturvallisuustoimenpiteiden ja hakkerointien julkistaminen vahvistuisi, jos Securities and Exchange Commissionin tänään ehdottamat uudet säännöt hyväksytään.

SEC:n puheenjohtaja Gary Gensler sanoi, että jos ehdotukset hyväksytään, ne vahvistaisivat sijoittajien kykyä arvioida kyberturvallisuushäiriöitä ja raportoida omistamiensa yhtiöiden varotoimista tuomalla saataville johdonmukaista, vertailukelpoista, luotettavaa ja päätöksentekoon liittyvää tietoa.

Hän sanoi, että kyberuhat aiheuttavat merkittäviä taloudellisia, oikeudellisia, toiminnallisia ja maineriskejä yrityksille.

SEC:n pääekonomisti ja talous- ja riskianalyysiosaston johtaja Jessica Wachter sanoi, että ehdotukset alentaisivat sijoittajien hakukustannuksia ja helpottaisivat kyberturvallisuusvertailujen vertailua yritysten välillä.

Ehdotusten mukaan yrityksen olisi julkistettava merkittävä kyberturvallisuushäiriö neljän päivän kuluessa siitä, kun yritys on todennut sen tapahtuneen. Yritys joutuisi myös julkistamaan ajoittain lisätietoja tapahtumasta.

Lisäksi yrityksen olisi julkistettava johdon ja hallituksen rooli sekä kyberturvallisuusriskien valvonta; onko sillä kyberturvallisuuspolitiikkaa ja -menettelyjä; ja kuinka kyberturvallisuusriskit ja -tapahtumat todennäköisesti vaikuttavat yrityksen talouteen; ja onko hallituksen jäsenillä kyberturvallisuuden asiantuntemusta.

Demokraattinen komissaari Caroline Crenshaw sanoi, että uusista säännöistä on tullut elintärkeitä, kun toimitusjohtajat ovat todenneet kybervälikohtaukset ykkösuhkaksi liiketoiminnan kasvulle tulevina vuosina.

Hän väitti tällä hetkellä, että "kuka mitä milloin ja missä paljastukset" ovat epäluotettavia.

Ehdotusta vastustaen komission ainoa republikaanijäsen Hester Peirce syytti sitä flirttailemaan SEC:n nimeämisestä kyberturvallisuuden komentokeskukseksi.

"Emme ole sääntelyviranomaisia, joilla on tarvittava asiantuntemus", sanoi Peirce.

Hän vastusti myös ehdotuksia, jotka johtaisivat ennennäkemättömään SEC:n hallitusten mikrohallintaan vaatimalla yrityksiä paljastamaan hallitusten jäsenten kyberturvallisuustiedot.