Nouveau règlement de la SEC sur la cybersécurité
La Securities and Exchange Commission (SEC) a adopté de nouvelles règles obligeant les entreprises à divulguer les incidents de cybersécurité importants et des informations sur leur gestion des risques, leur stratégie et leur gouvernance. L'objectif est de fournir aux investisseurs des informations cohérentes et comparables pour leur permettre de prendre des décisions éclairées. Ces règles s'appliquent aux émetteurs privés nationaux et étrangers. La nouvelle réglementation entrera en vigueur 30 jours après sa publication au Federal Register, les délais de publication commençant à courir pour les exercices clos à compter du 15 décembre 2023.
L'importance des nouvelles règles de la SEC
Les nouvelles règles sont essentielles pour renforcer la transparence et la responsabilité des marchés financiers face aux incidents de cybersécurité. En obligeant les entreprises à divulguer ces incidents et leurs approches de gestion des risques, les investisseurs peuvent mieux comprendre l'impact potentiel des menaces de cybersécurité sur leurs activités et leurs performances financières.
Qui sont les personnes concernées par les nouvelles règles de la SEC ?
Ces règles s'adressent aux sociétés cotées en bourse et enregistrées auprès de la SEC, qu'elles soient nationales ou étrangères. Ces sociétés sont tenues de communiquer les informations requises en matière de cybersécurité dans leurs rapports annuels et sur le formulaire 8-K (pour les incidents importants) ou le formulaire 6-K (pour les émetteurs étrangers), conformément aux délais impartis.
Liste des nouvelles règles de la SEC
Règle 1 : Divulgation des incidents importants de cybersécurité
- Les inscrits doivent divulguer tout incident de cybersécurité important dont ils sont victimes.
- La divulgation doit inclure les aspects importants de la nature, de la portée, du calendrier et de l’impact important ou raisonnablement probable de l’incident sur le déclarant.
- La divulgation doit être faite sur le nouveau point 1.05 du formulaire 8-K.
- En règle générale, la divulgation du formulaire 8-K doit être effectuée quatre jours ouvrables après que le déclarant a déterminé que l'incident de cybersécurité est important.
- La divulgation peut être retardée si une divulgation immédiate présente un risque substantiel pour la sécurité nationale ou la sécurité publique.
Règle 2 : Divulgation de la gestion des risques de cybersécurité, de la stratégie et de la gouvernance
- Les déclarants doivent divulguer des informations importantes sur leurs processus d’évaluation, d’identification et de gestion des risques importants liés aux menaces de cybersécurité.
- Ils doivent également divulguer les effets matériels ou les effets matériels raisonnablement probables des risques liés aux menaces de cybersécurité et aux incidents de cybersécurité antérieurs.
- La divulgation doit décrire la surveillance exercée par le conseil d’administration sur les risques liés aux menaces de cybersécurité ainsi que le rôle et l’expertise de la direction dans l’évaluation et la gestion de ces risques.
- Cette divulgation est ajoutée en tant qu'article 106 du règlement SK et est requise dans le rapport annuel d'un déclarant sur le formulaire 10-K.
Règle 3 : Informations comparables pour les émetteurs privés étrangers
- Les émetteurs privés étrangers sont également tenus de faire des divulgations comparables pour les incidents de cybersécurité importants sur le formulaire 6-K.
- Ils doivent également fournir des informations sur la gestion des risques de cybersécurité, la stratégie et la gouvernance sur le formulaire 20-F.
Règle 4 : Date d’entrée en vigueur et délais :
- Les règles définitives entreront en vigueur 30 jours après leur publication au Federal Register.
- Les informations à fournir sur les formulaires 10-K et 20-F seront dues pour les exercices se terminant le 15 décembre 2023 ou après cette date.
- Les déclarations des formulaires 8-K et 6-K devront être soumises à compter de la date la plus tardive entre 90 jours après la date de publication au Federal Register ou le 18 décembre 2023.
- Les petites entreprises déclarantes disposeront de 180 jours supplémentaires avant de devoir commencer à fournir la divulgation du formulaire 8-K.
- Les déclarants doivent étiqueter les informations requises en vertu des règles finales dans Inline XBRL à compter d'un an après la conformité initiale avec l'exigence de divulgation correspondante.
Incident de cybersécurité vs. Violation
Les incidents de cybersécurité (ou de sécurité) et les violations de données sont parfois utilisés de manière interchangeable. Si toute violation de données est considérée comme un incident de sécurité majeur, tous les incidents de sécurité n'impliquent pas une violation de données. Un incident de sécurité est tout événement susceptible de nuire à un système informatique ou à un réseau. Il peut s'agir d'une tentative de cyberattaque, d'une infection virale ou d'un accès non autorisé à des données. Une violation de données, quant à elle, est un type spécifique d'incident de sécurité où des informations sensibles ou confidentielles sont consultées, divulguées ou volées sans autorisation. Les nouvelles règles de la SEC exigent la divulgation de tout incident de cybersécurité important, y compris, mais sans s'y limiter, les violations de données.
Comment les organisations peuvent se préparer avec BigID
Une stratégie moderne de sécurité des données commence par une visibilité et un contrôle complets des données. BigID s'appuie sur une approche centrée sur les données et consciente des risques pour améliorer efficacement la sécurité des données, rationaliser la remédiation, garantir la conformité, accélérer la réponse aux violations et, in fine, réduire les risques liés aux données, à grande échelle. Voici comment les organisations peuvent se préparer et se conformer aux nouvelles règles et exigences de cybersécurité de la SEC :
Évaluations complètes des risques liés aux données
- BigID's Évaluation des risques liés aux données Nos rapports se démarquent des évaluations classiques. Avec une couverture complète de tous les types de données et de tous les emplacements (structurés et non structurés, cloud, hybrides et sur site), nos évaluations intègrent toutes vos informations, où qu'elles se trouvent. Notre large gamme de cas d'utilisation en matière de sécurité des données regroupe divers indicateurs de risque, renforçant ainsi votre évaluation. De plus, contrairement à d'autres méthodes qui prennent des semaines, voire des mois, les évaluations des risques liés aux données de BigID sont réalisées en quelques heures, vous faisant gagner du temps et vous fournissant des informations exploitables.
Réponse aux violations tenant compte de l'identité
- L'analyse des violations de données basée sur l'identité de BigID évalue efficacement l'étendue et l'ampleur d'une violation de données. Cartographiez et inventoriez facilement toutes les informations personnelles identifiables (IPI) et les informations personnelles (IP) jusqu'aux identités (entités) et aux lieux de résidence correspondants. Identifiez les utilisateurs et les données personnelles compromis. Générez des rapports automatisés pour les régulateurs et les auditeurs, garantissant ainsi le respect des exigences de conformité. De plus, identifiez les informations de résidence des utilisateurs, ce qui vous permet d'adapter votre réponse aux exigences juridictionnelles spécifiques et d'accélérer votre processus global de réponse.
Gouvernance, inventaire et exploration des données
- La gouvernance des données est un principe fondamental d'une stratégie de sécurité des données efficace. Une gouvernance des données efficace sert de base pour mieux sécuriser l'emplacement, la durée et l'accès de vos données sensibles. BigID allie sécurité et gouvernance des données pour rationaliser et automatiser la gestion et la protection de vos données. Exploitez des techniques d'IA et de machine learning pour améliorer votre capacité à découvrir, explorer et inventorier les données sensibles. Ciblez précisément les mesures correctives et réduisez l'exposition, transformant ainsi votre perception et votre protection des données.
Démarrage de la gestion de la posture de sécurité des données (DSPM)
- Alors que les environnements de données hybrides continuent de se développer et d'évoluer, la mise en œuvre de la gestion des risques de sécurité (DSPM) est essentielle pour comprendre et atténuer les risques liés aux données. La plateforme DSPM de pointe de BigID vous permet de centraliser la détection, l'investigation et la correction des risques et vulnérabilités critiques liés aux données dans les environnements hybrides. Attribuez la gravité et la priorité en fonction du contexte des données, notamment leur sensibilité, leur localisation, leur accessibilité, etc. Surveillez en permanence les activités suspectes, identifiez les menaces internes potentielles et analysez en profondeur les détails pour une analyse approfondie.
Application des politiques de sécurité et de conformité des données
- Utilisez des politiques de sécurité et de classification de la sensibilité prédéfinies, conformes aux normes de conformité et aux référentiels tels que NIST, CISA, PCI et désormais SEC, pour une gestion et une protection efficaces des données. Créez et appliquez des politiques de gestion et de sécurité des données, notamment en matière de conservation. minimisationet gestion de l'accès Politiques. Dès leur déclenchement, lancez des flux de travail rationalisés entre les personnes et les outils appropriés. Validez la nécessité de conserver ou de supprimer des données et exécutez-les automatiquement. remédiation Actions en utilisant l'outil approprié. Gérez vos données comme si leur sécurité en dépendait.
BigID aide les organisations de toutes tailles à gérer, protéger et tirer davantage de valeur de leurs données où qu'elles se trouvent, sur site ou dans le cloud. Planifiez un entretien individuel avec l'un de nos experts en sécurité dès aujourd'hui pour en savoir plus sur la manière dont nous pouvons vous aider à respecter la conformité SEC !
Auteur
