SEC AS Inginkan Perusahaan Publik Melaporkan Pelanggaran Data dalam 4 Hari

Internet Sehat : Komisi Sekuritas dan Bursa AS (Securities and Exchange Commission, SEC) telah mengusulkan amandemen aturan yang mewajibkan perusahaan publik untuk melaporkan pelanggaran data dan insiden keamanan siber lainnya dalam waktu empat hari setelah ditetapkan sebagai insiden material (yang mungkin dianggap penting oleh pemegang saham).

Menurut amandemen baru yang diusulkan untuk aturan saat ini, perusahaan yang terdaftar harus memberikan informasi dalam pengajuan laporan berkala tentang kebijakan, prosedur yang diterapkan, dan langkah-langkah yang diambil untuk mengidentifikasi dan mengelola risiko keamanan siber pada Formulir 8-K.

Aturan yang diubah juga akan menginstruksikan perusahaan untuk memberikan pembaruan mengenai pelanggaran keamanan yang dilaporkan sebelumnya.

SEC ingin perusahaan publik berbagi pengungkapan reguler mengenai peran manajemen mereka dalam menerapkan prosedur dan kebijakan keamanan siber, serta keahlian keamanan siber dewan direksi dan pengawasan risiko keamanan siber.

Amandemen yang diusulkan ini dirancang untuk memberi investor pemberitahuan tepat waktu tentang pelanggaran keamanan yang memengaruhi perusahaan terdaftar dan memberi tahu mereka dengan lebih baik mengenai manajemen dan strategi risiko keamanan siber mereka.

Jika aturan direvisi sesuai keinginan SEC, peraturan baru akan mengharuskan pengungkapan informasi berikut tentang pelanggaran (jika informasi tersedia saat formulir 8-K diajukan):

  1. Kapan insiden itu ditemukan dan apakah itu sedang berlangsung.
  2. Deskripsi singkat tentang sifat dan ruang lingkup insiden.
  3. Apakah ada data yang dicuri, diubah, diakses, atau digunakan untuk tujuan tidak sah lainnya.
  4. Pengaruh insiden pada operasi pendaftar.
  5. Apakah pendaftar telah memperbaiki atau sedang memulihkan insiden tersebut.

Namun, perusahaan yang terkena dampak pelanggaran data tidak diharapkan untuk mengungkapkan informasi teknis mengenai respons insiden yang direncanakan atau perincian tentang potensi kerentanan untuk memengaruhi respons atau perbaikan insiden tersebut.

Sumber : Bleeping Computer