- 米国証券取引委員会(SEC)は、上場企業に対し、重大なインシデントと判断されてから4営業日以内にサイバー攻撃を開示することを義務付ける新たな規制を導入した。
- 投資決定を行う際に株主によって重要とみなされる重要な出来事は、重要であるとみなされます。
- サイバー攻撃の後は、外国の民間発行体も同様の開示を行うことが求められます。
- 開示には、サイバー攻撃の性質、範囲、時系列などのサイバー攻撃に関する情報が含まれている必要があり、定期的な報告書提出 (特に 8-K フォーム) に含める必要があります。
- 新しい規則は 12 月に発効しますが、小規模企業の場合は Form 8-K の開示が義務付けられるまでにさらに 180 日間の猶予が与えられます。 即時開示が国家安全保障または公共の安全に重大なリスクをもたらす場合、特定の条件下で開示期限が延長される場合があります。
米国証券取引委員会は、上場企業に対し、サイバー攻撃が重大なインシデントであると判断してから 4 営業日以内に開示することを義務付ける新たな規制を採用しました。
ウォール街の監視機関によると、重大な出来事とは、公開会社の株主が重要だと考える出来事のことです。投資決定をする際に」
さらに、SEC は、外国の民間発行会社に対し、サイバー攻撃後に同等の開示を提供することを義務付ける新たな規制を採用しました。
サイバー侵害の開示に必要な重要な情報、SECが明らかに
「企業が火災で施設を失っても、サイバー攻撃で何百万ものファイルを失っても、投資家に重大な影響を与える可能性があります。 SEC委員長ゲイリー・ゲンスラー 上場企業の大多数は投資家にサイバーセキュリティの開示を提供していると述べた。
「企業と投資家の両方が、より一貫性があり、比較可能で、意思決定に役立つ情報を開示することで恩恵を受けると私は信じています。 企業が重要なサイバーセキュリティ情報を開示することを保証することで、今日のルールは投資家、企業、そして相互接続された市場に利益をもたらすでしょう。」
上場企業は現在、定期報告書、特に 8-K フォームにサイバー攻撃に関する詳細 (インシデントの性質、範囲、スケジュールを含む) を記載することが義務付けられています。
サイバーセキュリティインシデントの報告に関する新しい規則は、12 月、つまり連邦公報に掲載されてから 30 日後に発効する予定です。
ただし、小規模企業には Form 8-K の開示が必要になるまでにさらに 180 日間の猶予が与えられます。 米国司法長官が、即時開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合、特定の状況においては開示期限が延長される可能性があります。
透明性を高めるためのタイムリーな情報開示
SEC は、1 年以上前の 2021 年 3 月に、これらの新しい規則を 2022 年 3 月に採用する意向を明らかにしました。 (PDF) 上場企業に影響を与えるセキュリティインシデントを投資家に迅速に通知し、サイバーセキュリティのリスク管理と戦略への理解を深めます。
以下の違反関連情報の開示が求められています (フォーム 8-K の提出時に入手可能な場合)。
- インシデントの発見日と現在のステータス (進行中または解決済み)。
- インシデントの性質と範囲の簡潔な説明。
- 許可なく侵害、変更、アクセス、または使用された情報。
- インシデントが会社の経営に及ぼす影響。
- 会社の進行中または完了した改善取り組みに関する情報。
ただし、影響を受ける企業は、インシデント対応計画の技術的な詳細や、対応や修復措置に影響を与える可能性のある潜在的な脆弱性に関する情報を開示することは期待されていません。 ムーディーズ・インベスターズ・サービスの上級副社長、レスリー・リッター氏によると、新規則は透明性を高めるが、中小企業にとっては難しいだろうという。
リッター氏はBleepingComputerに対し、「米国証券取引委員会が本日初めに採択したサイバーセキュリティ開示規則は、不透明だが増大するリスクに対する透明性を高め、一貫性と予測可能性を高めることになるだろう」と語った。
「開示の増加は、企業が慣行を比較するのに役立ち、サイバー防御の改善に拍車をかける可能性がありますが、リソースが少ない中小企業では、新しい開示基準を満たすことがより困難になる可能性があります。」
注目の画像クレジット: スプラッシュを解除します。
Source: SEC、上場企業にサイバー攻撃のタイムリーな開示を義務付ける
