ביום 05.09.2023 נכנסו לתוקף בארה"ב כללים חדשים, אשר יחייבו חברות שניירות ערך שלהן נסחרים בבורסות בארה"ב לפרסם מידע הנוגע לאירועי סייבר שהתרחשו, וכן מידע תקופתי הנוגע למוכנות שלהן לאירועי סייבר עתידיים. כללים אלה ישפיעו כבר ממועד זה על אופן הדיווח של חברות, וירחיבו משמעותית את המידע שיימסר לציבור בנוגע לאיומי סייבר.
הכללים, שאושרו ביום 26.07.2023 על-ידי נציבות ניירות ערך בארה"ב (SEC – The Securities and Exchange Commission), יחייבו חברות ציבוריות וחברות פרטיות מסוימות (Foreign Private Issuers – חברה זרה שנסחרת בארה"ב) בגילוי מוגבר של פרטים הנוגעים לאבטחת סייבר וסיכוני סייבר. חברות שעליהן חלים הכללים יחויבו לגלות תקריות אבטחת סייבר מהותיות, ובנוסף יחויבו לדווח על בסיס שנתי על מידע הנוגע לניהול הסיכונים שלהן בסייבר ועל היבטי אסטרטגיה וממשל תאגידי הנוגעים לעניין.
בהודעה שפורסמה, צוין כי כבר כיום נוהגות חברות מסוימות לדווח על אירועי סייבר, אך הדיווח אינו עקבי, אינו מחייב ולעיתים לא מספק. לדברי יו"ר ה-SEC "אם חברה מאבדת מפעל בשריפה – או אם היא מאבדת מיליוני קבצים בתקרית אבטחת סייבר – זה יכול להיות מהותי באותה מידה למשקיעים […] חברות ומשקיעים יחדיו ירוויחו מגילויים יותר עקביים של המידע הזה".
בין היתר, בהודעת ה-SEC צוין שהכללים החדשים קובעים כי:
- חברות יצטרכו להגיש דיווח על תקריות אבטחת סייבר מהותיות בתוך 4 ימים מהמועד שבו התבהר לחברה שמדובר באירוע מהותי. הדיווח יכיל מידע על מהות התקרית, היקפה, מועדה וניתוח השפעתה על פעילות החברה. התובע הכללי של ארה"ב יוכל להאריך את התקופה הנדרשת לדיווח אם התרשם שדיווח מיידי יגרום לסיכון משמעותי לביטחון הציבור או לביטחון הלאומי, בכפוף ליידוע בכתב של ה-SEC.
- חברות ימסרו על בסיס שנתי מידע על התהליכים הארגוניים שבהם הן עושות שימוש להערכה, זיהוי וניהול סיכוני סייבר.
- חברות יגלו את היקף הפיקוח של הדירקטוריון על סיכונים ואיומים בסייבר, ועל מידת המומחיות והידע של ההנהלה בהערכה והתמודדות עם איומי סייבר.
הכללים נכנסו לתוקף ב-05.09.2023. בהתאם לאופי הכללים ולאופי החברות, הדרישה לציות לכללים תהיה בתקופות מסוימות לפי קביעת ה-SEC. חובת הדיווח השנתית תחול כבר לגבי הדוחות הכספיים השנתיים של שנת 2023.
