- La Securities and Exchange Commission (SEC) degli Stati Uniti ha introdotto nuove normative che richiedono alle società quotate in borsa di rivelare gli attacchi informatici entro quattro giorni lavorativi dalla determinazione che si tratta di incidenti materiali.
- Considerati significativi dagli azionisti al momento di prendere decisioni di investimento, gli eventi materiali sono ritenuti materiali.
- A seguito di attacchi informatici, anche gli emittenti privati esteri sono tenuti a fornire informazioni equivalenti.
- Le divulgazioni devono contenere informazioni relative all’attacco informatico, compresa la sua natura, portata e cronologia, e devono essere incluse nei rapporti periodici (in particolare sui moduli 8-K).
- Le nuove regole entreranno in vigore a dicembre, ma le aziende più piccole avranno altri 180 giorni prima che siano richieste le divulgazioni del modulo 8-K. Se la divulgazione immediata comporta rischi sostanziali per la sicurezza nazionale o pubblica, il termine per la divulgazione può essere prorogato a determinate condizioni.
Gli Stati Uniti Commissione per i titoli e gli scambi ha adottato nuovi regolamenti che impongono alle società quotate in borsa di divulgare gli attacchi informatici entro quattro giorni lavorativi dalla determinazione che si tratta di incidenti materiali.
Secondo il watchdog di Wall Street, gli eventi materiali sono quelli che gli azionisti di una public company considererebbero significativi”nel prendere una decisione di investimento.”
Inoltre, la SEC ha adottato nuovi regolamenti che richiedono agli emittenti privati stranieri di fornire informazioni equivalenti a seguito di attacchi informatici.
Informazioni chiave richieste nelle divulgazioni di violazioni informatiche, chiarisce la SEC
“Che un’azienda perda una struttura in un incendio o milioni di file in un attacco informatico, può avere un impatto significativo sugli investitori. Il presidente della SEC Gary Gensler ha affermato che la maggior parte delle società pubbliche fornisce agli investitori informazioni sulla sicurezza informatica.
“Credo che sia le società che gli investitori trarrebbero vantaggio da una divulgazione di queste informazioni più coerente, comparabile e utile per la decisione. Garantendo che le aziende divulghino informazioni rilevanti sulla sicurezza informatica, le regole odierne andranno a vantaggio degli investitori, delle aziende e dei mercati interconnessi”.
Le aziende quotate sono ora tenute a includere i dettagli sull’attacco informatico (inclusa la natura, la portata e la tempistica dell’incidente) nei rapporti periodici, in particolare sui moduli 8-K.
Le nuove regole per la segnalazione degli incidenti di sicurezza informatica dovrebbero entrare in vigore a dicembre, o 30 giorni dopo la pubblicazione nel registro federale.
Tuttavia, alle aziende più piccole verranno concessi ulteriori 180 giorni prima che siano richieste le divulgazioni del modulo 8-K. Se il procuratore generale degli Stati Uniti stabilisce che la divulgazione immediata rappresenterebbe un rischio significativo per la sicurezza nazionale o pubblica, il termine per la divulgazione può essere esteso in determinate circostanze.
Divulgazioni effettuate in modo tempestivo per migliorare la trasparenza
La SEC ha rivelato l’intenzione di adottare queste nuove regole nel marzo 2022 più di un anno fa, nel marzo 2021. Le nuove regole (PDF) fornire agli investitori avvisi tempestivi di incidenti di sicurezza che interessano le società quotate, migliorando così la loro comprensione della gestione e della strategia del rischio di sicurezza informatica.
Richiedono la divulgazione delle seguenti informazioni relative alla violazione (se disponibili al momento della presentazione del modulo 8-K):
- La data della scoperta dell’incidente e il suo stato attuale (in corso o risolto).
- Una breve descrizione della natura e della portata dell’incidente.
- Qualsiasi informazione che sia stata compromessa, alterata, consultata o utilizzata senza autorizzazione.
- Gli effetti dell’incidente sull’operatività della società.
- Informazioni relative alle iniziative di riparazione in corso o completate dalla società.
Tuttavia, le aziende interessate non sono tenute a divulgare i dettagli tecnici dei loro piani di risposta agli incidenti o informazioni su potenziali vulnerabilità che potrebbero influire sulle loro azioni di risposta e rimedio. Secondo Lesley Ritter, Senior Vice President di Moody’s Investors Service, le nuove regole aumenteranno la trasparenza, ma saranno probabilmente difficili per le aziende più piccole.
“Le regole di divulgazione della sicurezza informatica adottate oggi dalla Securities and Exchange Commission degli Stati Uniti forniranno maggiore trasparenza su un rischio altrimenti opaco ma in crescita, nonché maggiore coerenza e prevedibilità”, ha dichiarato Ritter a BleepingComputer.
“Una maggiore divulgazione dovrebbe aiutare le aziende a confrontare le pratiche e può stimolare miglioramenti nelle difese informatiche, ma le aziende più piccole con meno risorse potrebbero trovare più difficile soddisfare i nuovi standard di divulgazione”.
Credito immagine in primo piano: Unsplash.
Source: La SEC impone divulgazioni tempestive sugli attacchi informatici per le società quotate in borsa