Quelle est la nouvelle décision de la SEC sur la divulgation de cybersécurité ?
La SEC (Securities and Exchange Commission) des États-Unis a adopté de nouvelles exigences en matière de cybersécurité pour les sociétés cotées en bourse enregistrées auprès de la SEC, qui doivent divulguer les incidents de cybersécurité « importants » et leurs processus de gestion des risques. Ce mandat de la SEC renforce la transparence et la responsabilité des marchés financiers concernant les incidents de cybersécurité. Il permettra également de mieux comprendre l'impact potentiel des cybermenaces sur les opérations et la performance financière.
Cliquez ici pour télécharger la liste de contrôle ou continuez à lire pour plus de détails sur la nouvelle réglementation de la SEC en matière de cybersécurité !
Qui est concerné par la décision de la SEC sur la cybersécurité ?
La nouvelle réglementation de la SEC en matière de cybersécurité offre aux consommateurs une transparence sur les violations de données et permet une notification rapide des incidents de cybersécurité. Cybersécurité et conformité étant indissociables, cette modification de la réglementation de la SEC affectera de nombreuses parties prenantes :
- Les investisseurs auront besoin de visibilité sur les niveaux de risque, les mesures de sécurité et les incidents de cybersécurité
- Les dirigeants clés devront évaluer leurs gestion de la posture de sécurité des données et travailler aux côtés des services financiers et juridiques pour préparer leurs déclarations annuelles
- Les conseils d’administration doivent ajouter des experts en cybersécurité pour assurer la surveillance
- Les équipes de sécurité des données devront renforcer leurs capacités de détection et de signalement des violations
Dates clés de conformité pour la règle de la SEC
Des dates de conformité spécifiques varient selon le type de divulgation. Les petites entreprises déclarantes (SRC) bénéficient d'un délai de conformité plus long pour signaler les incidents :
- Les délais de divulgation commencent pour les exercices financiers se terminant après le 15 décembre 2023. Tous les déclarants doivent fournir des informations à partir des rapports annuels pour l'exercice financier en utilisant Formulaire 10-K et Formulaire 20-F divulgations en matière de cybersécurité.
- Pour la divulgation d'incidents de cybersécurité importants, les organisations doivent se conformer à compter du 18 décembre 2023, en utilisant Formulaire 8-K et 6-KLes SRC disposent de 180 jours supplémentaires pour se conformer et doivent commencer à se conformer d’ici le 15 juin 2024.
- Pour les exigences en matière de données structurées (c'est-à-dire le balisage XBRL en ligne), tous les déclarants (y compris les SRC) doivent commencer à baliser leurs divulgations de cybersécurité dans les formulaires 10-K et 20-F en XBRL en ligne pour les exercices se terminant le 15 décembre 2024 ou après. Tous les déclarants (y compris les SRC) doivent commencer à baliser leurs divulgations d'incidents de cybersécurité importants dans les formulaires 8-K et 6-K en XBRL en ligne d'ici le 18 décembre 2024.
- Les émetteurs privés étrangers doivent divulguer spécifiquement les incidents de cybersécurité importants sur le formulaire 6-K et leur stratégie de gestion des risques de cybersécurité et leur gouvernance sur le formulaire 20-F.
Comment les organisations peuvent-elles se conformer aux nouvelles normes de cybersécurité de la SEC ?
Les organisations doivent désormais divulguer leurs politiques et processus de gestion des risques sur le formulaire 10-K afin de se conformer aux exigences réglementaires. Les informations requises pour le formulaire 10-K comprennent :
- Décrire et esquisser le programme de gestion des risques de cybersécurité
- Décrire l'engagement et les interactions avec des tiers
- Expliquer les mesures prises pour prévenir, détecter et atténuer les cyberincidents
- Définir des stratégies pour réduire les risques de cybersécurité
- Détailler le plan d'action de continuité et de reprise en cas de violation
- Comment le risque de cybersécurité impacte potentiellement la santé financière
Les organisations doivent également remplir le formulaire 8-K pour signaler les incidents de cybersécurité importants dans un délai de quatre jours ouvrables. Le signalement d'incidents concerne les événements spécifiques couverts par la réglementation de la SEC en matière de cybersécurité, tels que les informations compromises, les attaques malveillantes, les perturbations du système et les événements entraînant des pertes financières.
De plus, la SEC a formalisé des directives de divulgation relatives aux signalements de violations. Les organisations doivent :
- Divulguer la nature de la violation
- Décrivez le type d'incident de cybersécurité
- Fournir des détails sur toutes les données concernées
- Détailler l’impact sur les opérations globales
- Rapport sur l'état des efforts de remédiation
Liste de contrôle de conformité réglementaire de la SEC
La réglementation de la SEC en matière de cybersécurité est en vigueur : êtes-vous en phase avec la nouvelle décision ?
Téléchargez la liste de contrôle de conformité de la SEC pour vous concentrer sur les domaines que vous devez prioriser en matière de gestion des risques de cybersécurité, de stratégie, de gouvernance et de divulgation des incidents de la SEC, notamment comment :
- Comprendre les exigences de cybersécurité de la SEC
- Découvrez, cartographiez, étiquetez et signalez les données commerciales à haut risque et critiques pour détecter, prévenir et atténuer les risques
- Analysez les données violées et déterminez les ensembles de données personnelles sensibles exposés.
- Respectez les délais et les exigences de notification des violations de la SEC en fonction des résidences concernées.
- Générez des rapports d’impact de violation pour les régulateurs et les auditeurs.
Comment BigID aide les organisations à prévenir et à répondre aux incidents de cybersécurité pour se conformer aux exigences de la SEC
Toute stratégie de sécurité des données est une tâche complexe qui nécessite une planification, une mise en œuvre et une surveillance continue méticuleuses. Mais tout commence par une visibilité et un contrôle complets des données. BigID s'appuie sur une approche centrée sur les données et consciente des risques pour améliorer la posture de sécurité des données, rationaliser l'assainissement, assurer la conformité, accélérer la réponse aux violationset, in fine, réduire les risques liés aux données, à grande échelle. Voici comment BigID aide les organisations à prévenir et à gérer les incidents de cybersécurité afin de se conformer aux nouvelles règles et exigences de la SEC en matière de cybersécurité :
Prévention des incidents de cybersécurité :
- Découvrir données sombres, ombres, pourriture, dupliquées, similaires, non critiques pour l'entreprise, et plus encore.
- Carte, étiquette, tag et drapeau risques et vulnérabilités liés aux données sensibles et à haut risque.
- Cataloguer les données personnelles réglementées, comme PI et PII, retour à une identité et une résidence.
- Identifier les combinaisons de données toxiques de deux ou plusieurs types de données sensibles collectées.
- Détecter les secrets perdus tels que les clés API et les informations d'identification à travers le cloud et le code.
Réponse aux incidents de cybersécurité :
- Analysez les données violées et déterminez les ensembles de données personnelles sensibles exposés.
- Identifier les données personnelles qui ont été affectées par Technologie de cartographie basée sur l'identité de BigID.
- Identifiez l’origine des données pour limiter les retombées.
- Respecter les délais et les exigences de notification des violations en fonction des résidences concernées.
- Générer rapports d'impact de violation pour les régulateurs et les auditeurs.
Planifiez un entretien individuel avec l'un de nos experts en sécurité dès aujourd'hui pour en savoir plus sur la manière dont nous pouvons vous aider à respecter la conformité SEC !
Auteur
