Cyberthreat.id - Komisi Sekuritas dan Bursa Amerika Serikat (SEC) telah mengusulkan amandemen aturan yang mewajibkan perusahaan publik untuk melaporkan pelanggaran data dan insiden keamanan siber lainnya dalam waktu empat hari setelah ditetapkan sebagai insiden material (yang mungkin dianggap penting oleh pemegang saham).

"Dalam beberapa kasus, tanggal penentuan materialitas pendaftar mungkin bertepatan dengan tanggal penemuan insiden, tetapi dalam kasus lain penentuan materialitas akan datang setelah tanggal penemuan," pengawas Wall Street menjelaskan.

Menurut amandemen baru yang diusulkan untuk aturan saat ini, perusahaan yang terdaftar harus memberikan informasi dalam pengajuan laporan berkala tentang kebijakan, prosedur yang diterapkan, dan langkah-langkah yang diambil untuk mengidentifikasi dan mengelola risiko keamanan siber pada Formulir 8-K.

Aturan yang diubah juga akan menginstruksikan perusahaan untuk memberikan pembaruan mengenai pelanggaran keamanan yang dilaporkan sebelumnya.

SEC ingin perusahaan publik membagikan pengungkapan reguler mengenai peran manajemen mereka dalam menerapkan prosedur dan kebijakan keamanan siber, serta keahlian keamanan siber dewan direksi dan pengawasan risiko keamanan siber.

"Kami percaya bahwa persyaratan yang diajukan untuk mengajukan Item 1.05 Formulir 8-K dalam waktu empat hari kerja setelah pendaftar menentukan bahwa pendaftar telah mengalami insiden keamanan siber material akan secara signifikan meningkatkan ketepatan waktu pengungkapan insiden keamanan siber, serta memberikan investor informasi yang lebih terstandarisasi. dan pengungkapan yang sebanding," kata regulator [PDF] seperti dilaporkan Bleeping Computer, Kamis.

Amandemen yang diusulkan ini dirancang untuk memberi investor pemberitahuan tepat waktu tentang pelanggaran keamanan yang memengaruhi perusahaan terdaftar dan memberi tahu mereka dengan lebih baik mengenai manajemen dan strategi risiko keamanan siber mereka.

Jika aturan direvisi sesuai keinginan SEC, peraturan baru akan mengharuskan pengungkapan informasi berikut tentang pelanggaran (jika informasi tersedia saat formulir 8-K diajukan):

• Kapan insiden itu ditemukan dan apakah itu sedang berlangsung;
   
• Deskripsi singkat tentang sifat dan ruang lingkup insiden;
   
• Apakah ada data yang dicuri, diubah, diakses, atau digunakan untuk tujuan tidak sah lainnya;
   
• Pengaruh insiden pada operasional pendaftar;
   
• Apakah pendaftar telah memperbaiki atau sedang memulihkan insiden tersebut.

Namun, perusahaan yang terkena dampak pelanggaran tidak diharapkan untuk mengungkapkan informasi teknis mengenai respons insiden yang direncanakan atau perincian tentang potensi kerentanan untuk memengaruhi respons atau perbaikan insiden tersebut.

"Selama bertahun-tahun, rezim pengungkapan kami telah berevolusi untuk mencerminkan risiko yang berkembang dan kebutuhan investor. Banyak emiten telah memberikan pengungkapan keamanan siber kepada investor," tambah Ketua SEC Gary Gensler.

"Saya pikir perusahaan dan investor sama-sama akan mendapat manfaat jika informasi ini diperlukan dengan cara yang konsisten, sebanding, dan bermanfaat bagi keputusan.

"Saya senang untuk mendukung proposal ini karena, jika diadopsi, itu akan memperkuat kemampuan investor untuk mengevaluasi praktik keamanan siber perusahaan publik dan pelaporan insiden," tambahnya.[]