По словам экспертов, предприятия столкнутся с проблемами, связанными с соблюдением правила кибербезопасности, опубликованного Комиссией по ценным бумагам и биржам США (SEC) в конце прошлого месяца, которое дает им всего четыре рабочих дня для сообщения о существенных кибернарушениях.
Они добавляют, что держатели страховых полисов могут найти исключения из покрытия в своих политиках киберответственности и D&O, если претензии возникают в связи с регулированием.
В соответствии с правилом, одобренным SEC в результате голосования 3–2 26 июля, компании должны определить существенность инцидента без «необоснованной задержки» и подать форму 8-K по пункту 1.05, как правило, в течение четырех рабочих дней.
Требование о раскрытии информации о существенных инцидентах вступает в силу 18 декабря, а для небольших компаний предусмотрена отсрочка на 180 дней.
Регламент также требует от компаний описания своих процессов для оценки, выявления и управления существенными рисками, связанными с угрозами кибербезопасности, среди прочих требований. Информация должна быть включена в годовые отчеты, начиная с 15 декабря.
Председатель Комиссии по ценным бумагам и биржам Гэри Генслер сказал в своем заявлении, что, хотя многие публичные компании предоставляют инвесторам информацию о кибербезопасности, «однако как компании, так и инвесторы выиграют, если это раскрытие информации будет более последовательным, сопоставимым и полезным для принятия решений».
186-страничный регламент находится в разработке уже несколько лет.
Комиссия по ценным бумагам и биржам собирала такую информацию о кибериницдентах на добровольной основе, но «было очень мало требований», — сказал Артуро Перес-Рейес, старший вице-президент и специалист по киберстратегии в Newfront Insurance.
«Это коренное изменение по сравнению с тем, где мы были раньше с точки зрения подотчетности и прозрачности для корпоративных советов», — сказала Доминик Шелтон Лейпциг, партнер Mayer Brown.
Эта информация никогда не требовалась для годовых отчетов, «и подчеркивает важность участия советов директоров в этом процессе», — продолжила она.
«Попытка заставить компании как можно скорее раскрыть информацию об этих нарушениях является агрессивной реакцией», — сказал Питер А. Халприн, партнер Pasich LLP.
Цель правила — позволить фондовым рынкам «узнавать, что происходит почти в режиме реального времени с киберинцидентом», — сказал Алоке С. Чакраварти, партнер Snell & Wilmer LLP, который является сопредседателем отдела кибербезопасности фирмы и практики защиты данных и конфиденциальности. «Это довольно революционно». По его словам, после того, как правило вступит в силу, SEC, вероятно, будет расследовать самые вопиющие дела, нарушающие правила, чтобы подать пример.
И новое правило может повлиять на страховое покрытие.
«Мы можем ожидать, что клиенты будут все больше и больше обращать внимание на свою кибербезопасность и свою управленческую ответственность — в частности, D&O — страхование, чтобы попытаться справиться с любыми последствиями своей ответственности», — отметил Халприн.
Андерсон отметил, что полисы D&O, которые предусматривают покрытие ошибок и упущений со стороны руководства, советов директоров, комитетов по аудиту и директоров по информационным технологиям, с большей вероятностью среагируют, чем полисы киберстрахования, хотя исключения, связанные с кибербезопасностью, в этих полисах не редкость.
Перес-Рейес полагает, что полис киберстрахования также может иметь исключения, связанные с D&O. По его словам, страховщики могут выпускать очень широкие исключения, чтобы избежать, например, возможности того, чтобы полис D&O покрывал «обычный иск о взломе», а не тот, который связан с обвинениями, связанными с SEC, против директоров и должностных лиц.
«Между полисом киберстрахования и полисом D&O образовалась дыра, и это увеличит разрыв и потребует от брокеров творческой работы», — сказал он.
Чакраварти считает, что требование об уведомлении за четыре дня «имеет большое значение», поскольку регулирование очень специфично в отношении предоставления таких коротких сроков. «Очень сложно так быстро понять, является ли что-то материальным», — сказал он.
Дэвид Андерсон, вице-президент по кибербезопасности Woodruff-Sawyer & Co, отметил, что правило четырех дней «сложно и опасно для публичных компаний, потому что всегда есть вероятность судебного разбирательства».
По словам Халприна из Pasich LLP, компаниям следует пересмотреть свои внутренние процедуры в отношении сообщения о кибератаках, убедиться, что они соответствуют требованиям, и иметь надежное страховое покрытие в качестве надежного средства защиты в случае предполагаемых нарушений.
Чакраварти добавил, что более мелкие компании с большей вероятностью будут затронуты требованиями соответствия, поскольку более крупные фирмы, скорее всего, будут иметь «зрелую инфраструктуру безопасности».
Подготовлено порталом Allinsurance.kz