31 січня 2024 року очолює американські банківські торговельні групи, включаючи Американську асоціацію банкірів (ABA), Інститут політики банку (BPI), а також Асоціацію цінних паперів та фінансових ринків (SIFMA), надіслали офіційну клопотання до Комісії з цінних паперів та бірж США (SEC), що вимагає відкликання суперечливого правила розкриття інцидентів з кібербезпеки.
З петиціяподаний 22 травня 2025 року, вимагає скасування пункту 1.05 у формі 8-К та відповідній формі 6-К вимоги до іноземних приватних емітентів, які передбачають розкриття матеріальних інцидентів кібербезпеки протягом чотирьох ділових днів після визначення їх значущості, посилаючись на глибокі проблеми щодо національної безпеки, шкоди інвесторам та операційному порушенню.
Групи стверджують, що ці вимоги виявилися обтяжливими, заплутаними та контрпродуктивними для кібербезпеки та захисту інвесторів.
“Передчасне розкриття матеріальних кібер -подій загрожує стримуванню інцидентів, заважало координації правоохоронних органів та викликало ринковий та юридичний хаос”, – йдеться у петиції.
Банківські групи США попереджають SEC Cyber Recovercose Pline Hicks Hackers
Правило управління ризиками, стратегією, управління та розкриття інформації SEC, стратегії, управління та розголошення інцидентів, прийняте в липні 2023 року, було призначено для підвищення прозорості та стандартизації того, як державні компанії повідомляють про загрози кібербезпеці для інвесторів.
Але критики кажуть, що це досягає навпаки. У петиції підкреслюється, що реєстратори змушені повідомляти про випадки, навіть коли вони залишаються постійними, розслідування є неповними, а системи не були повністю відновлені, тим самим потенційно передаючи зловмисникам перевагу.
Правило призвело до значної плутанини щодо того, як і коли компанії повинні розкривати випадки. Незважаючи на спроби SEC уточнити за допомогою інтерпретацій відповідності та розкриття інформації, коментарів та рекомендацій комісара, реєстратори все ще намагаються визначити, чи слід звітувати за пунктом 1.05 та пунктом 8.01.
Згідно з торговими групами, ця невизначеність зробила це правилом неефективним та юридично ризикованим, піддаючи фірми судовим процесам та репутаційній шкоді, не в змозі генерувати діючу інформацію для інвесторів.
Зокрема, групи попередили, що банди Ransomware та інші кіберзлочинці розпочали озброєння часовій шкалі розкриття SEC, використовуючи загрозу публічного впливу як важелі для вимагання жертв.
“Вимога щодо розкриття інциденту була використана злочинцями викупних програм для подальших шкідливих цілей”,-зазначає петиція, додавши, що це може навіть збільшити ймовірність подальших атак, коли фірми, як відомо, будуть вразливими.
Ядро петиції – це попередження про те, що правило про розкриття інформації SEC підриває федеральну стратегію кібербезпеки.
Далі групи стверджують, що звільнення деталей матеріальних кібер -інцидентів у загальнодоступному доступі занадто рано може суперечити конфіденційній вимогах звітності відповідно до таких законів, як звітність про інцидент з кібер -інцидентів для Закону про критичну інфраструктуру (Circia).
Інвестори краще обслуговуються існуючими рамками розголошення
Незважаючи на намір SEC на підвищення захисту інвесторів, петиція наполягає на тому, що нинішнє правило розкриття кібер-інцидентів не надає на ринок інформацію про корисну рішення.
Натомість це ризикує створити оманливі розповіді на основі неповних фактів, завдаючи шкоди інституціям, які він прагне регулювати.
Банківські групи стверджують, що існуючі зобов’язання щодо розкриття інформації, такі як регулювання пункту 105 SK та попередня рамка суттєвості, вже змушують компанії повідомляти про значні ризики, включаючи загрози в кібербезпеці, таким чином зберігає інтереси інвесторів без шкоди для національної безпеки чи стійкості компанії.
Вони стверджують, що інвестори все ще будуть захищені без пункту 1.05.
“Ми вважаємо, що їм буде краще служити через існуючу рамку розкриття інформації для звітування про матеріальну інформацію-яка може включати інциденти матеріальних кібербезпеки-при краще пом’якшити проблеми, порушені вище”,-підсумовує лист.
SEC ще не відповідає на петицію 22 травня. Оскільки SEC важить свій наступний крок, результат може змінити те, як американські компанії збалансували прозорість з стійкістю до кібербезпеки у все більш ворожій екосистемі.
Пост Банківські групи США закликають SEC до правила розкриття кібер -розкриття, посилаючись на ризики національної безпеки з’явився першим на Cryptonews.
