La SEC américaine a introduit de nouvelles règles obligeant les sociétés cotées en bourse à divulguer les cyberattaques dans un délai de quatre jours ouvrables si elles sont considérées comme importantes pour les investisseurs. Les émetteurs privés étrangers sont également tenus de fournir des informations équivalentes. Gary Gensler, président de la SEC, a déclaré qu’une information cohérente et comparable profiterait à la fois aux entreprises et aux investisseurs.
Les règles exigent des sociétés cotées en bourse qu’elles incluent les détails des cyberattaques dans les rapports périodiques (formulaires 8-K). Ces règles entreront en vigueur en décembre ou 30 jours après leur publication dans le registre fédéral. Les petites entreprises disposeront d’un délai supplémentaire de 180 jours pour se mettre en conformité. Les délais de divulgation peuvent être retardés si la divulgation immédiate présente un risque pour la sécurité nationale ou la sécurité publique.
Les informations requises incident de cybersécurité comprennent la nature de l’incident, sa portée, le moment où il s’est produit, la compromission des données, l’impact sur les opérations et les efforts de remédiation. Toutefois, les plans de réponse aux incidents techniques et les informations sur les vulnérabilités ne doivent pas être divulgués.
Moody’s Investors Service estime que ces règles amélioreront la transparence, mais qu’elles pourraient représenter un défi pour les petites entreprises disposant de ressources limitées.