Nouvelles règles de la SEC : Signalement des incidents importants par le biais des informations relatives à la cybersécurité

Les règles de la Securities and Exchange Commission (SEC) énoncées sur 26 juillet 2023Ces nouvelles réglementations exigent que la quasi-totalité des entreprises déposant des documents auprès de la SEC (« entreprises enregistrées ») décrivent les processus et procédures de gestion qu’elles utilisent pour évaluer, identifier et gérer les risques de cybersécurité. Elles visent à fournir aux investisseurs et aux acteurs du marché des informations fiables et actualisées sur les conséquences de tout incident de cybersécurité majeur.
Quelles sont les nouvelles exigences de la SEC ?
Concernant les règles de notification des violations de données, les sociétés enregistrées auprès de la SEC doivent divulguer les informations relatives aux incidents de cybersécurité importants dans un délai de quatre jours ouvrables. La SEC définit un incident important comme un événement qu'un investisseur raisonnable serait susceptible de considérer comme significatif au moment de prendre une décision d'investissement, comme les violations de données, les demandes de rançon et les accès non autorisés aux systèmes. Le rapport doit préciser la nature, l'étendue et la date de l'incident.
Plus important encore, les personnes inscrites doivent également expliquer leur raisonnement lorsqu'elles décident qu'un incident est pas Les incidents doivent être matériels et sans lien avec des incidents antérieurs. Par exemple, si une violation de données exige une intervention immédiate et d'importants efforts de remédiation de la part d'une équipe de sécurité, elle est considérée comme devant être signalée conformément aux directives de la SEC, indépendamment des pertes financières substantielles ou du vol de données clients.
De plus, les nouvelles règles de la SEC introduisent règlement SK article 106Cette réglementation exige des entreprises qu'elles détaillent leurs méthodes d'identification, d'évaluation et de gestion des risques importants en matière de cybersécurité. Elles doivent notamment aborder les conséquences de ces risques et des incidents de cybersécurité antérieurs, et expliquer le rôle du conseil d'administration et de la direction dans la supervision et la gestion de ces menaces.
Quelles sont les entreprises tenues de se conformer à cette obligation ?
Les nouvelles règles concernent toutes les entités américaines et les émetteurs privés étrangers soumis aux obligations de déclaration prévues par la loi sur les valeurs mobilières de la SEC. Selon la SEC, émetteurs privés étrangers Sont concernées toutes les entités qui peuvent démontrer qu'elles détiennent moins de 50 % du capital détenu par des Américains ou, même si elles en détiennent plus de 50 %, qu'elles ne sont ni situées ni gérées aux États-Unis, ou qu'elles ne sont pas gérées par du personnel américain. Ces règles s'appliquent également à sociétés de développement commercial (« BDC »), qui sont des fonds d’investissement à capital fixe conçus pour permettre aux investisseurs particuliers d’allouer des fonds à des petites et moyennes entreprises privées et d’investir dans divers autres actifs, y compris des sociétés cotées en bourse.
Quels sont les délais de mise en conformité ?
Les entités enregistrées nationales doivent déclarer les incidents importants dans les quatre jours ouvrables suivant la détermination du caractère important d'un incident de cybersécurité. Elles doivent commencer à se conformer à cette obligation au plus tard le 18 décembre 2023. Certaines exceptions existent, par exemple pour entreprises dont le capital est inférieur à 100 millions de dollars en chiffre d'affaires annuel.
Parallèlement, tous les déclarants doivent inclure des informations sur la cybersécurité dans leurs rapports annuels pour les exercices clos le 15 décembre 2023 ou après cette date.
Quelles sont les sanctions ?
Lorsqu'elles signalent des incidents de cybersécurité importants à la SEC, les entreprises doivent identifier les types de données affectées et évaluer l'impact sur leurs activités et leurs finances. Le non-respect de ces directives peut entraîner… plusieurs millions de dollars sanctions.
Comment garantir sa conformité aux exigences de divulgation de la SEC ?
Les délais de déclaration des incidents auprès de la SEC sont très stricts, la plupart des incidents devant être signalés sous quelques jours. Par conséquent, les entreprises doivent déjà disposer des ressources humaines, des processus et des outils nécessaires pour analyser un incident et déposer un rapport dans les délais impartis. Voici deux points essentiels à prendre en compte :
- Identifier le caractère matériel d'un incident critique et, le cas échéant, prouver le contraire, peut s'avérer complexe et difficile. Cela exige des ressources et des outils permettant de mener des analyses approfondies afin de déterminer les causes de l'incident, les données potentiellement compromises et le niveau de risque que ces données compromises représentent pour l'entreprise et les personnes concernées.
- Le conseil d'administration doit rendre compte de sa gestion des risques de cybersécurité. Les équipes de direction doivent donc disposer de systèmes et de processus efficaces pour répondre aux questions de la SEC. Elles doivent préciser les systèmes mis en place pour identifier les données impactées et comment elles peuvent remédier rapidement aux incidents de cybersécurité majeurs.
Comment Cyera vous aide à vous conformer aux nouvelles règles de la SEC
Cyera permet aux entreprises d'analyser et d'accélérer leur réponse aux incidents majeurs impliquant une compromission de données. Notre solution les aide à se conformer aux nouvelles réglementations de la SEC grâce à :
Visibilité des données réglementées : Cyera offre une visibilité complète sur toutes les données, notamment les données réglementées. Elle indique quelles données une entreprise détient, où elles sont stockées, qui y a accès et comment elles sont utilisées. Cette approche proactive est essentielle pour comprendre l'impact d'un incident majeur.
Contexte relatif aux données et aux risques : Cyera fournit un contexte sur vos données, notamment leur localisation et leur rôle en tant que personne concernée, ainsi que les catégories de données compromises. Par exemple, Cyera catégorise les informations de cartes de crédit, les numéros de sécurité sociale et autres données à haut risque, soulignant ainsi l'urgence de signaler l'incident.
Prévention et intervention efficaces : Cyera contribue à identifier les erreurs de configuration susceptibles d'entraîner un incident majeur, minimisant ainsi le risque de violation de données et empêchant l'accès aux données sensibles par des personnes non autorisées. Cyera identifie également les vulnérabilités et met en œuvre des actions correctives rapides pour combler les failles de sécurité. Ceci est crucial pour limiter l'impact d'un incident.
Pour en savoir plus sur la manière d'améliorer l'audit de vos données et de vous préparer aux incidents importants conformément aux règles de la SEC, Planifiez une démonstration dès aujourd'hui.

.jpg)

