- 미국 증권거래위원회(SEC)는 상장 기업이 사이버 공격이 중요한 사건이라고 판단한 후 영업일 기준 4일 이내에 이를 공개하도록 요구하는 새로운 규정을 도입했습니다.
- 투자 결정을 내릴 때 주주가 중요하다고 생각하는 중요한 사건은 중요한 것으로 간주됩니다.
- 사이버 공격 이후 외국 사설 발행인도 동등한 공시를 제공해야 합니다.
- 공개에는 사이버 공격의 성격, 범위 및 연대기를 포함하여 사이버 공격에 관한 정보가 포함되어야 하며 정기 보고서 제출(특히 8-K 양식)에 포함되어야 합니다.
- 새로운 규칙은 12월에 발효되지만 소규모 회사는 Form 8-K 공개가 요구되기 전에 추가로 180일의 시간이 주어집니다. 즉각적인 공개가 국가 안보 또는 공공 안전에 상당한 위험을 초래하는 경우 특정 조건에서 공개 일정이 연장될 수 있습니다.
미국 증권거래위원회(SEC)는 공개 거래 기업이 사이버 공격이 중요한 사건이라고 판단한 후 영업일 기준 4일 이내에 이를 공개하도록 요구하는 새로운 규정을 채택했습니다.
월스트리트 워치독에 따르면 중대한 사건은 공개 기업의 주주들이 중요하다고 생각하는 사건입니다.투자 결정을 내리면서.”
또한 SEC는 외국 민간 발행인이 사이버 공격의 여파로 동등한 공개를 제공하도록 요구하는 새로운 규정을 채택했습니다.
사이버 위반 공개에 필요한 주요 정보, SEC는 명확히 합니다.
“회사가 화재로 시설을 잃거나 사이버 공격으로 수백만 개의 파일이 손실되더라도 투자자에게 상당한 영향을 미칠 수 있습니다. SEC 의장 게리 겐슬러 공개 기업의 대다수가 투자자에게 사이버 보안 공개를 제공한다고 밝혔습니다.
“회사와 투자자 모두 이 정보를 보다 일관되고 비교 가능하며 의사 결정에 유용하게 공개함으로써 이익을 얻을 것이라고 믿습니다. 회사가 중요한 사이버 보안 정보를 공개하도록 보장함으로써 오늘날의 규칙은 투자자, 회사 및 상호 연결된 시장에 도움이 될 것입니다.”
상장 기업은 이제 정기적인 보고서 제출, 특히 8-K 양식에 사이버 공격에 대한 세부 정보(사건의 성격, 범위 및 타임라인 포함)를 포함해야 합니다.
사이버 보안 사고 보고에 대한 새로운 규칙은 12월 또는 연방 관보에 게시된 후 30일 후에 발효될 예정입니다.
그러나 소규모 회사는 Form 8-K 공개가 요구되기 전에 추가 180일을 부여받습니다. 미국 법무장관이 즉각적인 공개가 국가 안보나 공공 안전에 중대한 위험을 초래할 것이라고 판단하는 경우 특정 상황에서 공개 일정이 연장될 수 있습니다.
투명성을 높이기 위해 적시에 공개
SEC는 1년 전인 2021년 3월에 2022년 3월에 이러한 새로운 규칙을 채택할 의도를 공개했습니다. (PDF) 상장 기업에 영향을 미치는 보안 사고에 대한 즉각적인 통지를 투자자에게 제공하여 사이버 보안 위험 관리 및 전략에 대한 이해를 높입니다.
그들은 다음과 같은 위반 관련 정보의 공개를 요구합니다(양식 8-K 제출 시 제공되는 경우).
- 인시던트 발견 날짜 및 현재 상태(진행 중 또는 해결됨).
- 사건의 성격과 범위에 대한 간결한 설명.
- 허가 없이 손상, 변경, 액세스 또는 사용된 모든 정보.
- 사고가 회사 운영에 미치는 영향.
- 회사의 진행 중이거나 완료된 수정 이니셔티브에 관한 정보.
그러나 영향을 받는 회사는 사고 대응 계획의 기술적 세부 사항이나 대응 및 수정 조치에 영향을 미칠 수 있는 잠재적 취약성에 대한 정보를 공개하지 않아야 합니다. Moody’s Investors Service의 수석 부사장인 Lesley Ritter에 따르면 새로운 규칙은 투명성을 높일 것이지만 소규모 회사에는 어려울 것입니다.
Ritter는 BleepingComputer와의 인터뷰에서 “미국 증권거래위원회(SEC)가 오늘 일찍 채택한 사이버 보안 공개 규칙은 불투명하지만 증가하는 위험에 대한 투명성을 높이고 일관성과 예측 가능성을 높일 것입니다.
“공개 증가는 기업이 관행을 비교하는 데 도움이 되고 사이버 방어 개선에 박차를 가할 수 있지만 리소스가 적은 소규모 기업은 새로운 공개 기준을 충족하기가 더 어려울 수 있습니다.”
추천 이미지 크레딧: 언플래쉬.
