Le regole di sicurezza informatica della SEC

Le linee guida di sicurezza informatica della SEC

La Securities and Exchange Commission degli Stati Uniti (recentemente ha adottato regole che richiedono alle società quotate di divulgare incidenti di sicurezza informatica di rilievo entro quattro giorni lavorativi. Una volta che un’azienda determina che un incidente è di rilievo, ha quattro giorni lavorativi per comunicarlo utilizzando la nuova sezione 1.05 del Modulo 8-K.

L’azienda deve descrivere gli aspetti rilevanti della natura, tempistica e portata dell’incidente e i suoi effetti rilevanti (o effetti rilevanti ragionevolmente prevedibili) sull’azienda, secondo un comunicato stampa della SEC.

Il titolo della regola è “Gestione del rischio, strategia, governance e divulgazione degli incidenti di sicurezza informatica”. Gli esperti la chiamano regola sulla sicurezza informatica della SEC o semplicemente “la regola”. Tutti i riferimenti a tali termini indicano la stessa regola della SEC.

Secondo il comunicato stampa della SEC, la regola obbliga le aziende a utilizzare la nuova sezione 106 della Normativa S-K per descrivere come valutano, identificano e gestiscono i rischi rilevanti delle minacce alla sicurezza informatica. La sezione 106 deve includere gli effetti rilevanti dei rischi, nonché informazioni sulla documentazione degli incidenti di sicurezza informatica precedenti.

• La Cina ha un nuovo piano per valutare la sicurezza dell’intelligenza artificiale generativa – ed è ricco di dettagli.
• Come fare soldi con TikTok Shop Dropshipping
• Approccio IA produce un cane robotico ‘athletically intelligent

La presentazione della sezione 106 da parte di un’azienda deve descrivere la supervisione del consiglio di amministrazione sui rischi derivanti dalle minacce alla sicurezza informatica. Deve descrivere il ruolo e le competenze della direzione, comprese quelle della dirigenza aziendale, nella valutazione e nella gestione dei rischi rilevanti. Oltre alla tempestiva comunicazione di incidenti di sicurezza informatica, la regola richiede che le informazioni della sezione 106 vengano divulgate annualmente nel rapporto annuale dell’azienda (Modulo 10-K), secondo il comunicato stampa della SEC.

Internet è in fermento per le discussioni sugli effetti delle regole sulle aziende, la loro gestione, i consigli di amministrazione e la sicurezza informatica.

Il presidente della SEC, Gary Gensler, ha dichiarato nel comunicato stampa della SEC che le aziende e gli investitori trarranno vantaggio quando le aziende divulgheranno informazioni sulla sicurezza informatica in modo più coerente, comparabile e utile per le decisioni.

L’obiettivo della regola è fornire informazioni che gli azionisti dovrebbero avere quando prendono decisioni di investimento. La regola potrebbe consentire alle aziende di imparare più rapidamente dagli attacchi e dalle tecniche di risposta utilizzate da organizzazioni simili.

Tuttavia, le aziende incontreranno difficoltà nell’affrontare la regola e il suo requisito di comunicazione entro quattro giorni.

Secondo Ken Deitz, CSO/CISO della società di sicurezza informatica SecureWorks, gli incidenti di sicurezza informatica sono complessi. Valutare un incidente dopo il fatto differisce significativamente dal comunicare gli effetti potenziali mentre l’inchiesta e la gestione sono in corso.

Secondo Deitz, la performance delle aziende nella tempestiva divulgazione sarà varia, e ci sarà un periodo di adeguamento durante il quale le aziende cercheranno ciò che la SEC e il mercato vogliono.

Quattro giorni potrebbero sembrare un periodo di tempo estremamente breve, soprattutto se confrontato con le settimane e i mesi che alcune aziende hanno impiegato per divulgare eventi e violazioni relativi alla sicurezza informatica. Tuttavia, è fondamentale capire cosa dice la regola sul termine di quattro giorni e le opzioni per prorogarlo.

Secondo Kim Phan, socio dello studio legale nazionale Troutman Pepper, una società pubblica non è tenuta a divulgare le informazioni sulla sicurezza informatica entro quattro giorni lavorativi dalla scoperta di un incidente informatico, ma entro quattro giorni lavorativi dalla data in cui l’azienda determina che l’incidente informatico sia rilevante.

La regola prevede un ritardo limitato nella divulgazione del Form 8-K quando potrebbe rappresentare un rischio sostanziale per la sicurezza nazionale o la pubblica sicurezza, afferma Phan. Tuttavia, la capacità di un’azienda di ottenere questo sollievo richiede l’intervento del Procuratore Generale degli Stati Uniti, aggiunge.

La comprensione della materialità dell’incidente informatico e come determinarla è essenziale per capire quando divulgarlo.

Secondo Phan, nel definire la materialità, la regola sulla sicurezza informatica della SEC ha adottato la definizione di “materialità” a lungo accettata dalla decisione della Corte Suprema degli Stati Uniti su TSC Industries, Inc. v. Northway, Inc. 426 U.S. 438 (1976).

Phan afferma che qualcosa è rilevante se c’è una probabilità sostanziale che un azionista ragionevole lo consideri importante per prendere una decisione di investimento, o se avrebbe significativamente modificato il mix totale delle informazioni disponibili.

Anche se le società pubbliche hanno esperienza nell’applicare lo standard di rilevanza di TSC v. Northway, molte aziende potrebbero sentirsi a disagio nell’applicare questi standard a un incidente informatico, sostiene Phan.

Le aziende dovranno interpretare lo standard. Secondo Deitz, le aziende cercheranno di definire autonomamente la rilevanza, con il supporto di consulenti interni ed esterni. “Probabilmente pubblicheranno la loro definizione di rilevanza nel deposito annuale 10-K”, afferma.

Probabilmente ci saranno cause legali. Secondo Deitz, sarà interessante vedere quante modalità le aziende cercheranno di determinare la rilevanza. “Tuttavia, la SEC e il pubblico avranno l’ultima parola tramite cause legali”, afferma Deitz. Secondo Deitz, alcune aziende andranno in tribunale, citando in giudizio azionisti e la SEC, prima di ottenere una definizione ben accettata di ciò che deve essere considerato rilevante.

Le divulgazioni annuali potrebbero rivelare quanto la sicurezza informatica sia vitale per un’organizzazione. Secondo Deitz, le divulgazioni delle aziende sui processi di gestione del rischio potrebbero indicare quanto mature siano tali processi e quanto siano considerati prioritari nella funzione complessiva dell’azienda.

Le divulgazioni mostreranno anche quanto le aziende siano forti o carenti per quanto riguarda la sicurezza informatica. Secondo Jim Hyman, CEO di Ordr, un’azienda di sicurezza informatica per dispositivi connessi, alcune aziende hanno piani di sicurezza informatica vaghi e palesemente deboli e subiscono frequenti attacchi e violazioni. I “guardiani” terranno responsabili tali aziende, afferma.

La regola della SEC rende responsabili i vertici aziendali e i consigli di amministrazione per quanto riguarda la sicurezza informatica. I consigli di amministrazione devono esercitare un’adeguata supervisione dei rischi informatici. “I consigli di amministrazione hanno assunto un ruolo sempre più attivo nella vigilanza delle politiche e dei programmi di sicurezza informatica dell’azienda. Stanno cercando attivamente membri del consiglio con esperienza in materia di sicurezza informatica, dato che i requisiti per la sicurezza informatica sono diventati sempre più dettagliati ed esigenti e le minacce sono aumentate”, afferma Phan.

Secondo Alexander Koskey, co-presidente del team di cybersecurity e privacy dei dati nei servizi finanziari di Baker Donelson’s, la maggior parte dei consigli di amministrazione ha aumentato la loro vigilanza dei rischi informatici attraverso la formazione sulle minacce informatiche e la ricezione di report periodici da parte dei dirigenti per comprendere lo sviluppo del panorama delle minacce.

Nel frattempo, il ruolo dei vertici aziendali nella gestione dei rischi informatici materiali varia ampiamente, così come la loro competenza. Secondo Hyman, non c’è una chiara comprensione dei ruoli dei vertici aziendali, ma vi sono casi giurisprudenziali in aumento (in particolare la condanna penale dell’ex capo della sicurezza Joe Sullivan a seguito della violazione dei dati del 2016 presso Uber) che suggeriscono che i tribunali stanno cercando di definire i loro ruoli in materia di sicurezza informatica. “In conclusione, i vertici aziendali e i consigli di amministrazione dovrebbero prendere questo seriamente”, afferma Hyman.

Oltre alla supervisione degli azionisti delle società pubbliche, c’è la questione se la regola della SEC migliorerà la sicurezza informatica o se soltanto appesantirà ulteriormente le aziende, creando più problemi di quanti ne risolverà.

Secondo Phan, la regola cerca di concentrarsi sulle conseguenze materiali di un incidente di sicurezza informatica, anziché richiedere dettagli approfonditi sull’incidente stesso, che secondo i critici potrebbero essere sfruttati dai soggetti maligni.

Secondo Koskey, sebbene le nuove norme probabilmente metteranno sotto pressione le aziende nel breve termine, queste regole dovrebbero promuovere una migliore igiene informatica. Le norme potrebbero diventare il punto di riferimento per future regolamentazioni sulla sicurezza informatica, afferma.

Gli effetti reputazionali e finanziari della regola della SEC varieranno a seconda della sofisticazione delle capacità di sicurezza informatica di un’azienda. “Le aziende meno mature possono aspettarsi grandi effetti reputazionali e maggiori effetti finanziari dalla divulgazione di un incidente”, afferma Deitz.

David Geer è un giornalista che si occupa di questioni legate alla sicurezza informatica. Scrive da Cleveland, Ohio, USA.