askformore@bittnet.ro
Clase Programate

SIFMA cere SEC revizuirea regulii privind divulgarea cibernetica

Contextul reglementarii SEC privind divulgarea incidentelor cibernetice

Comisia pentru Valori Mobiliare si Burse din Statele Unite (SEC) a implementat recent o noua regula privind divulgarea cibernetica menita sa consolideze transparenta si responsabilitatea in fata incidentelor de securitate cibernetica. Aceasta regula impune companiilor publice sa raporteze incidentele cibernetice semnificative in termen de patru zile lucratoare de la constatarea semnificatiei acestora, cu exceptia cazului in care autoritatile considera ca divulgarea pune in pericol securitatea nationala.

Cu toate ca obiectivul acestei masuri este clar – imbunatatirea comunicarii cu actionarii si reducerea impactului atacurilor cibernetice – mai multe organizatii din sectorul financiar, printre care si Securities Industry and Financial Markets Association (SIFMA), si-au exprimat ingrijorarea.

Reactia SIFMA si apelul la reconsiderarea reglementarii

SIFMA, vocea industriei americane de servicii financiare, a comunicat public o solicitare oficiala catre SEC pentru a revizui termenii si structura acestei reguli de divulgare. Intr-o scrisoare adresata presedintelui SEC, Gary Gensler, SIFMA a detaliat cateva puncte principale de preocupare:

  • Lipsa claritatii in ceea ce priveste definitia unui incident “semnificativ”.
  • Pericolul dezvaluirii premature a informatiilor critice care pot afecta investigatiile in desfasurare sau pot compromite integritatea securitatii retelei.
  • Conflictul posibil intre reglementarile SEC si directivele federale sau agentiile de aplicare a legii.

Declaratia SIFMA

Intr-o declaratie oficiala, SIFMA a mentionat: _”In loc sa promovam transparenta si structura, regula propusa poate cauza confuzie si expune companiile la riscuri mai mari.”_ Aceasta a subliniat ca raportarea incidentelor fara o analiza completa sau fara indicatii clare din partea autoritatilor poate avea efecte inverse – punand in pericol relatia cu investitorii si expunand vulnerabil statul de securitate intern al unei companii.

Implicatiile pentru companiile listate si pentru ecosistemul cibernetic

Fara indoiala, introducerea unui astfel de cadru de raportare are implicatii ample:

  • Companiile trebuie sa-si actualizeze procedurile interne de detectie, evaluare si raportare a incidentelor cibernetice.
  • Este necesara o colaborare mai stransa intre echipele IT, juridice si operationale in cadrul firmelor pentru a putea reactiona in fereastra de timp data de SEC.
  • Investitorii si alte parti interesate pot reactiona negativ in lipsa unor informatii clare sau atunci cand comunicarile sunt percepute ca fiind incomplete.

SEC sustine ca regula creste responsabilitatea companiilor fata de actionari si publicul larg. Totusi, SIFMA avertizeaza ca firmele ar putea fi fortate sa divulge informatii inainte de a intelege pe deplin amploarea si natura unui incident, ceea ce ar putea crea interpretari gresite sau manipulare din partea pietei.

Riscul dublu: securitatea operationala si manipularea pietei

Potrivit analistilor din domeniu, exista un risc dublu asociat acestei reglementari:

  • Pe de o parte, divulgarea rapida poate dezvalui atacatorilor existenta unei breshe, inainte ca reparatiile sa fie implementate complet, facilitand atacuri ulterioare.
  • Pe de alta parte, actionarii pot trage concluzii premature sau pot interpreta eronat gravitatea evenimentului in lipsa unei explicatii tehnice complete.

SIFMA solicita, astfel, o consultare mai ampla din partea SEC cu reprezentantii din industrie, precum si modificari in termeni de flexibilitate si precizie.

Solutii propuse de SIFMA pentru imbunatatirea regulamentului

Pentru a echilibra securitatea cibernetica si nevoia de transparenta corporativa, SIFMA propune cateva masuri cheie:

  • Extinderea perioadei de raportare la minimum 7 zile pentru permiterea unui proces de evaluare adecvat.
  • Introducerea unor ghiduri mai clare pentru a defini conceptul de “incident semnificativ” cu exemple concrete.
  • Coordonarea intre SEC, CISA si alte entitati guvernamentale pentru a evita conflictele de jurisdictie intre raportari.
  • Recunoasterea situatiilor in care divulgarea poate afecta cooperarea cu fortele de ordine in anchetele active.

Importanta unei abordari armonizate

SIFMA accentueaza nevoia de armonizare a reglementarilor si un cadru legislativ care sa permita atat combaterea eficienta a amenintarilor cibernetice, cat si protejarea intereselor publice si ale investitorilor. Fiecare incident cibernetic are caracteristici diferite, iar reguli prea rigide pot duce la decizii contraproductive.

Reactia SEC si ce urmeaza

Pana la acest moment, SEC nu a anuntat modificari oficiale ca raspuns la apelul SIFMA. Insa, discutiile dintre autoritati si industria financiara sunt in plina desfasurare, iar o posibila revizuire este inca pe masa.

Presedintele SEC, Gary Gensler, a declarat anterior ca regulamentul este menajit sa ofere investitorilor informatii esentiale despre starea de sanatate cibernetica a firmelor in care investesc. Totusi, a mentionat ca autoritatea este deschisa unui dialog continuu cu participantii din piata.

Adaptabilitate si cultura de securitate

In contextul amenintarilor cibernetice in crestere, organizatiile trebuie sa adopte o cultura puternica de securitate informatica. Dincolo de conformitatea cu reglementarile SEC, imperativul este de a transforma securitatea cibernetica intr-un pilon strategic al afacerii.

  • Investitii in tehnologii de tip threat intelligence si sisteme de detectie timpurie.
  • Formarea continua a angajatilor in bune practici si scenarii de raspuns la incident.
  • Simulari si audituri de securitate periodice.

Concluzie: Echilibrul intre transparenta si siguranta

Regulile privind divulgarea incidentelor cibernetice sunt importante intr-o era in care valoarea datelor este uneori mai mare decat cea a infrastructurii fizice. Totusi, implementarea acestor reglementari trebuie sa tina cont de complexitatea reala a atacurilor si de nevoia unei reactii informate, nu grabite.

SIFMA aduce un punct de vedere esential: transparenta nu trebuie sa vina in contradictie cu eficienta operationala sau cu siguranta digitala. De aceea, reglementatorii ar trebui sa colaboreze mai indeaproape cu expertii din industrie pentru a construi un cadru functional, care protejeaza atat economia digitala, cat si investitorii.

Pasii urmatori pentru companii si profesionisti in securitate

In acest moment, fiecare firma trebuie:

  • Sa evalueze modul in care noile reglementari SEC afecteaza politicile de raspuns la incidente.
  • Sa creeze proceduri interne flexibile care sa sprijine raportarea conforma si responsabila a incidentelor.
  • Sa investeasca in training-uri specializate pentru profesionistii in Cybersecurity, astfel incat sa poata face fata cerintelor atat tehnice, cat si legale din noile contexte de conformitate.

Cu siguranta ai inteles care sunt noutatile din 2025 legate de securitate cibernetica, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate securitatii cibernetice din categoria Cybersecurity. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.