La SEC, la Commissione per i Titoli e le Borse degli Stati Uniti, ha implementato nuove regole che richiedono alle società quotate in borsa di divulgare eventuali cyberattacchi considerati incidenti rilevanti entro quattro giorni lavorativi dalla scoperta. Secondo l’ente di controllo di Wall Street, gli incidenti rilevanti sono quelli che gli azionisti di una società pubblica considererebbero importanti “nel prendere una decisione di investimento”. Le società quotate devono ora includere dettagli sull’attacco informatico (compresa la natura, l’ambito e il tempismo dell’incidente) nelle presentazioni di rapporti periodici.
È prevista un’esenzione per le PMI, che avranno a disposizione fino a 180 giorni per divulgare eventuali attacchi informatici subiti. Le nuove regole sulle segnalazione degli incidenti di sicurezza informatica entreranno in vigore a dicembre o 30 giorni dopo la pubblicazione nel Registro Federale.
Ad ogni modo, il regolamento prevede anche che il Dipartimento di Giustizia possa bloccare la divulgazione al pubblico di informazioni sugli attacchi informatici nel caso in cui questa possa pregiudicare la sicurezza nazionale o interferire con le indagini delle autorità.
“Sia che un’azienda perda una fabbrica in un incendio, sia che perda milioni di file in un incidente di sicurezza informatica, può essere rilevante per gli investitori. Attualmente, molte società pubbliche forniscono informazioni sulla sicurezza informatica agli investitori”, ha detto oggi il presidente della SEC, Gary Gensler.