Vendredi a marqué le premier anniversaire de l’introduction par la SEC de nouvelles règles régissant la divulgation des attaques de cybersécurité, mais les experts affirment avoir des opinions divergentes sur les impacts, notamment à la lumière de récentes décisions suggérant que les tribunaux pourraient avoir plus de pouvoir réglementaire que l’agence elle-même.
La réglementation sur la conformité et l’intégrité des systèmes (SCI) a été adoptée pour la première fois par la SEC en 2014 pour remédier aux failles technologiques des marchés boursiers américains. Une mise à jour en 2023 exige que les divulgations de cyber-infractions soient plus cohérentes et comparables. Les nouvelles règles obligent les organisations à divulguer tout incident de cybersécurité qu’elles jugent « important » et à décrire l’impact important probable dans les quatre jours ouvrables suivant sa détermination. Elles exigent également que les déclarants décrivent leurs processus d’identification et de gestion des risques liés aux cybermenaces.
