SEC har indført nye cybersikkerhedsregler regler for offentliggørelse for børsnoterede virksomheder, som træder i kraft den 15. december 2023. Disse regler pålægger virksomheder at give omfattende oplysninger om, hvordan de vurderer, identificerer og håndterer væsentlige cybersikkerhedsrisici i deres årsrapporter (Formular 10-K). De kræver, at organisationer skitser bestyrelsens rolle i at føre tilsyn med cybersikkerhedsrisici. Endelig, SEC kræver, at virksomheder at rapportere betydelige cybersikkerhedshændelser inden for fire dage (formular 8-K).
Denne regulering har en betydelig indvirkning på både virksomheder og Chief Information Security Officers (CISO'er). CISO'er er sat i rampelyset og har til opgave at sikre klar og hurtig kommunikation vedrørende deres virksomheds cybersikkerhedsforanstaltninger og -hændelser. Denne øgede synlighed kræver, at CISO'er fremmer stærke kommunikationskanaler med topledere og bestyrelsesmedlemmer. CISO'er skal også afstemme cybersikkerhedsstrategier med både forretningsmål og lovgivningsmæssige krav.
For både virksomhedsdirektører og bestyrelsesmedlemmer styrker forordningen deres fokus på cybersikkerhedsrobusthed inden for corporate governance. De har til opgave aktivt at deltage i og føre tilsyn med cybersikkerhedsstrategier. Bestyrelsen har nu til opgave ikke blot at sikre overholdelse, men også effektiviteten af deres virksomheds cybersikkerhedsprogram. Dette skift understreger den udviklende rolle, som corporate governance spiller i håndteringen af cyberrisici. Det fremhæver den voksende investorinteresse i, hvordan virksomheder er forberedte på at håndtere og afbøde cybertrusler.
Investorer er i stigende grad bekymrede over konsekvenserne af cybersikkerhed for deres investeringer. Dette er blevet drevet frem af det stigende antal højprofilerede cyberhændelser som ransomware-angreb og databrud. Investorer prioriterer cybersikkerhed sammen med kritiske miljømæssige, sociale og ledelsesmæssige (ESG) spørgsmål. Dette afspejles i RBC's globale undersøgelse af ansvarlige investeringer i formueforvaltningInvestorer søger klare, pålidelige og handlingsrettede cybersikkerhedsdata for at informere deres investeringsbeslutninger. De har brug for og ønsker klare indikatorer for cybersikkerhedsrobusthed uden at skulle besidde dybdegående teknisk viden på området. God cybersikkerhed ses ikke kun som en risikoreducerende faktor, men også som en indikator for robust virksomhedsledelse og ledelseskvalitet. Disse kvaliteter gør virksomheder mere attraktive for investeringer. Værktøjer, der inkorporerer cybersikkerhedsmålinger, bruges til at evaluere en virksomheds cybersikkerhedsberedskab. Derfor er de bedste informationssikkerhedschefer (CISO'er) opmærksomme på disse investorevalueringer. Succesfulde CISO'er sikrer, at deres organisationers cybersikkerhedsforanstaltninger kommunikeres effektivt. Effektive CISO'er fremhæver globale tendenser såsom større gennemsigtighed og ansvarlighed i cybersikkerhedsrapportering. Dette hjælper med at berolige investorernes bekymringer og investeringsmiljøet.
SEC's nye cybersikkerhedsregulering kræver involvering af den øverste ledelse. Virksomhedsledelsen skal involveres i at strategisere deres cybersikkerhedsrapportering. ITSO'er samler ledelsen for at mødes og gennemgå cybermodstandsdygtighed eller cyberberedskab i deres virksomheder. Disse møder skaber en kritisk forståelse af, hvordan disse regler påvirker din virksomhed og dens interessenter. Disse møder omfatter oftest CISO'en, chefjuristen, en Chief Risk Officer (hvis til stede), CFO'en og chefen for Investor Relations. Centrale diskussionspunkter drejer sig om, hvem der leder oplysningsindsatsen, og CISO'ens rolle i risiko- og hændelsesrapportering. Diskussionerne skal fastlægge og ratificere samarbejdsstrategier, investorkommunikation og hvordan man definerer en "...".materiale"cyberhændelse i forhold til virksomhedens aktiviteter, der nu kræver rapportering på 8-K."
Disse diskussioner skal etablere en klar ansvarsmatrix i din virksomhed vedrørende oplysninger om cybersikkerhed. IT-chefer skal også sikre, at deres tilgang til cybersikkerhed kommunikeres effektivt til investorer og dermed opfylder deres forventninger til gennemsigtighed. og forståelse. Jeres ledelsesteam skal også overveje virksomhedens eksisterende kommunikationsstrategier omkring cyberrisiko. De skal afgøre, om nye metoder, såsom en separat cybersikkerhedsrapport (årlig tredjepartsrevision), er berettigede til at formidle deres styring af sådanne risici klart. Dette handler ikke kun om compliance; det handler om at skabe en informeret, sammenhængende ekstern og intern fortælling om cybersikkerhedsstyring. CISO'en spiller en afgørende, men ikke enestående rolle i denne proces. Resultatet af disse møder vil forme virksomhedens cybersikkerhedsposition og investorrelationer fremadrettet.
I henhold til SEC's nye krav skal organisationer offentliggøre en række oplysninger, der hjælper investorer med at forstå deres processer for risikostyring inden for cybersikkerhed. Disse oplysninger omfatter organisationens cybersikkerhedsstrategi og tredjepartsrisikostyring. En ramme, der almindeligvis anvendes til sådanne risikovurderinger, er NIST Cybersikkerhedsramme (NSF). Alternativt bruger nogle virksomheder NIST 800-171 Risikostyringsstandard for deres compliance-strategi. Derefter skal ledelsesteamet, herunder IT-chefen, CISO'en, administrerende direktør, økonomidirektøren og bestyrelsen, udarbejde et rapporteringsprogram, der beskriver virksomhedens opnåelse og risikoreduktion i forhold til de kontroller, der er beskrevet i disse vurderingsmetoder.
Derudover forventes virksomheder at dele detaljer om centrale politikker, tekniske kontroller, uafhængige sikkerhedsevalueringer som f.eks. SOC 2-certificeringer. Programmålinger rapporteres med detaljerede oplysninger om programmets effektivitet og protokoller til håndtering af hændelser. Cyberforsikringsdækning valideres, hvilket hjælper med at reducere den økonomiske risiko fra cyberhændelser, samtidig med at det hjælper med at bestemme væsentligheden af cybersikkerhedshændelser og -problemer.
CISO'er har til opgave at indsamle disse data gennem dokumentgennemgange og konsultationer med deres cybersikkerhedsteams og ledende medarbejdere. Da mange organisationer muligvis ikke har let adgang til alle disse oplysninger, kan det være gavnligt at danne et tværfunktionelt team til at hjælpe med informationsindsamlingsprocessen. Du kan implementere CyberHoot og indsamle metrikker for hver medarbejder, der underskriver deres governance-politikker, gennemfører videoopgaver om oplysningstræning og gennemfører phishing-simuleringer og -tests. Det endelige mål er at rapportere tilbage til bestyrelsen, C-niveau-ledere og "fornuftige investorer"en fortælling, der er både tilgængelig og forståelig for alle."
Selvom virksomheder, der udvikler deres egne programmer, måske undrer sig over, hvad andre gør, er det vigtigt at opbygge dit eget compliance- og rapporteringsprogram baseret på din egen størrelse, kapacitet og investorernes forventninger. Der findes centraliserede informationskilder, som du kan gennemgå med henblik på udviklingen af dit eget program. For eksempel blev der i 2022 foretaget en analyse fra EY Center for bestyrelsesspørgsmål Om Fortune 100-virksomheders oplysninger afslørede følgende øgede gennemsigtighed i risikostyring for cybersikkerhed.
Trods tidligere afsløringer kræver SEC's nye cybersikkerhedsregler, at der indføres detaljerede og potentielt transformative rapporteringspraksisser, startende med børsnoterede virksomheder. Selvom reglerne primært er rettet mod børsnoterede virksomheder, bør andre private og mindre virksomheder gøre sig bekendt med disse nye regler og begynde at forberede og overvåge deres aktiviteter for at sikre deres egen cybersikkerhedsrobusthed og -beredskab.
Virksomheder skal kæmpe med udfordringen med at afgøre, hvad der udgør en "materiale"cybersikkerhedshændelse med henblik på offentliggørelse, som krævet af SEC. En væsentlig hændelse defineres af SEC som "en som en rimelig investor ville anse for vigtig, når han træffer en investeringsbeslutning"Denne vurdering går ud over økonomiske grænser og tager højde for både kvantitative og kvalitative data. Den omfatter hændelser, der resulterer i omdømmeskade eller tyveri af information, som, selvom de ikke er økonomisk kvantificerbare, har en betydelig indvirkning på enkeltpersoner eller virksomheden.
SEC foreslår, at selvom den økonomiske indvirkning almindeligvis tages i betragtning, bør omfanget og arten af skaden også evalueres. For at få en grundig forståelse af potentielle indvirkninger opfordres virksomheder til at udføre økonomisk kvantificering af cyberrisici. Denne analyse kan afsløre programsvagheder, investeringsbehov og risikoreducerende strategier.
Selvom IT-chefer typisk ikke er de endelige dommere over væsentlighed, bør de være dybt involveret i vurderingsprocessen og i udformningen af proaktive risikoafhjælpningsstrategier. Væsentligheden af hændelser bør afgøres fra sag til sag gennem juridisk rådgiver, administrerende direktør og bestyrelsen. Beslutningen om væsentlighed skal tage højde for de specifikke omstændigheder og potentielle konsekvenser for virksomheden og dens interessenter.
SEC pålægger specifikke oplysningskrav for tredjeparts cyberrisici og anerkender deres betydelige potentiale til at introducere cybersikkerhedshændelser. Med flere virksomheder, der outsourcer til leverandører for effektivitets- og konkurrencemæssige gevinster, er risiciene fra tredjeparts- og forsyningskædesårbarheder eskaleret. ITSO'er rådes til at etablere en robust tredjeparts cyberrisikostrategi, der omfatter identifikation og prioritering af tredjepartspartnere (ofte baseret på kritiskheden af de data, de indeholder eller kan tilgå), udførelse af risikobaserede cybervurderinger og løbende overvågning af disse enheder for nye trusler. Et grundigt program er afgørende for, at ITSO'er kan sikre interessenter effektiv risikostyring og overholdelse af SEC's oplysningskrav.
Disse udviklinger fremhæver den strategiske betydning af cybersikkerhed i virksomhedsledelse og behovet for, at ledelsen er velinformeret og proaktiv i forbindelse med cybersikkerhedstilsyn. Det indikerer også en tendens mod større gennemsigtighed i, hvordan virksomheder styrer og rapporterer om cybersikkerhed, med vægt på at skabe en robust sikkerhedskultur, der er i overensstemmelse med investorernes interesser og lovgivningsmæssige forventninger.
kilder:
https://www.sec.gov/news/press-release/2023-139
Opdag og del de seneste cybersikkerhedstrends, tips og bedste praksisser – sammen med nye trusler, du skal være opmærksom på.
En praktisk briefing til vCISO'er ADVARSELEN VI IGNOREREDE ELLER IKKE KUNNE FORSTÅ I årevis har den mest troværdige...
Læs mere
En guide til at opdage svindel med efterligning af ledende medarbejdere, før den falske administrerende direktør får en rigtig bankoverførsel. Det...
Læs mere
Kunstig intelligens (eller AI) gør phishing-e-mails smartere, malware mere lusket og tyveri af legitimationsoplysninger lettere...
Læs mereFå et skarpere blik på menneskelige risici med den positive tilgang, der slår traditionel phishing-testning.
