Les nouvelles règles de la Securities and Exchange Commission (Commission des valeurs mobilières des États-Unis) relatives à la divulgation des incidents de cybersécurité entreront en vigueur le 15 décembre pour les entreprises publiques dont l’exercice fiscal commence à cette date ou ultérieurement.
Aujourd’hui, ces organisations se demandent ce qu’elles doivent modifier ou améliorer dans leurs procédures de divulgation, leur réponse aux incidents et leurs cybercapacités existantes.
« En fin de compte, ce qui change, c’est l’orchestration entre la cybernétique, l’informatique, le comité de divulgation et les personnes chargées de la divulgation », a déclaré M. Adib.
En droit boursier, un incident important est généralement considéré comme un incident dans lequel « il y a une forte probabilité qu’un actionnaire raisonnable le considère comme important », selon trois affaires juridiques citées par la SEC. Les meilleurs outils et logiciels SIEM pour 2023 Examen d’Atlas VPN : Les entreprises australiennes et néo-zélandaises dépensent beaucoup d’argent pour la sécurité, mais cela suffira-t-il ? Glossaire rapide : Attaques de cybersécurité.
Les organisations doivent mettre en place des processus permettant de réunir des personnes issues de différents groupes de parties prenantes (cybernétique, informatique, finance, juridique) au sein d’un comité de divulgation afin de discuter d’un incident potentiel.
L’objectif de ces règles est d’informer les investisseurs de l’impact possible de l’incident sur « les investisseurs, les entreprises et les marchés qui les relient », a déclaré Gary Gensler, président de la SEC, dans un communiqué de presse publié le 26 juillet 2023.
