Ny regel: Børsnoterede selskaber i USA skal melde ud om cyberangreb

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Amerikanske børsnoterede virksomheder skal fremover melde ud om cyberangreb inden for fire hverdage efter at have fastslået, at virksomheden har været ramt af et sådan angreb.

Sådan lyder det fra den amerikanske børsmyndighed SEC (US Securities and Exchange Commission).

Myndigheden mener, at begivenheder som et cyberangreb er væsentlige hændelser, som en offentlig virksomheds aktionærer ville betragte som vigtige "i forbindelse med at træffe en investeringsbeslutning."

Det skriver Bleeping Computer.

SEC’s nye regel rammer også udenlandske bøsnoterede aktører, som er aktive i USA.

"Uanset om en virksomhed mister en fabrik i en brand - eller millioner af filer i en cybersikkerhedshændelse - kan det være væsentligt for investorer. I øjeblikket giver mange offentlige virksomheder cybersikkerhedsoplysninger til investorer," udtaler SEC-formand Gary Gensler i en udmelding og fortsætter:

"Jeg tror dog, at både virksomheder og investorer ville have gavn af, hvis denne offentliggørelse blev foretaget på en mere konsekvent, sammenlignelig og beslutningsrigtig måde. Gennem at hjælpe med at sikre, at virksomheder afslører væsentlige cybersikkerhedsoplysninger, vil dagens regler gavne investorer, virksomheder og markederne, der forbinder dem."

Børsnoterede virksomheder skal nu inkludere detaljer om cyberangrebet som for eksempel type af angreb, omfang og timing. Detaljerne skal meldes til myndigheden i en såkaldt 8-K-formularer.

Reglerne kræver sammenlignelige oplysninger fra udenlandske private udstedere på formular 6-K for væsentlige cybersikkerhedshændelser og på formular 20-F for cybersikkerhedsrisikostyring, -strategi og -styring.

De endelige regler træder i kraft 30 dage efter offentliggørelsen af ​​den vedtagende udgivelse i det føderale register.

Læs også: Dansk erhvervsliv er slet ikke klar til NIS2: "Mange virksomheder famler i blinde"

Hvis man sammenligner med EU, er de nye regler dog ikke så strenge – tidsgrænsen er i hvert fald længere.

Under NIS2-lovgivningen, som kommer til at træde endeligt i kraft næste år, vil organisationer, som er dækket af lovningen have 24 timer til at melde ud om et cyberangreb til relevante myndigheder.