Éléments Clés :
Processus d’Évaluation de l’Impact : Assurez-vous qu’il existe un protocole interne pour (1) détecter les incidents de cybersécurité, (2) classer ces incidents par degré d’impact (ex. : faible, moyen, élevé, critique), (3) escalader les incidents en fonction de leur classification de gravité vers un comité qui évalue les obligations de divulgation (ex. : escalader tous les incidents élevés et critiques), (4) évaluer l’impact selon des facteurs qualitatifs et quantitatifs applicables, (5) documenter la décision concernant l’évaluation de l’impact, et (6) si applicable, déposer un formulaire 8-K selon les items 1.05 ou 8.01. Réaliser un exercice de simulation exécutif est une excellente manière de tester et d’affiner ce processus. Impliquer des membres du comité d’audit ou du conseil d’administration dans cet exercice facilite également une supervision efficace.
Processus de Révision : Veillez à ce qu’il y ait un processus pour examiner les déclarations relatives à la cybersécurité avant les dépôts trimestriels et annuels, pour garantir leur exactitude et leur exhaustivité, notamment en tenant compte des incidents de sécurité survenus depuis le dépôt précédent et pour éviter les déclarations hypothétiques concernant les risques réels.
- Déclarations de Sécurité : Vérifiez l’exactitude, l’exhaustivité et la cohérence des déclarations de sécurité à destination du public.
L’année inaugurale d’une nouvelle obligation réglementaire significative est souvent marquée par l’absence de mesures d’exécution, les régulateurs observant généralement les efforts de conformité, offrant des conseils et identifiant les exceptions. En se projetant vers 2024, des inquiétudes persistaient concernant la capacité à se conformer aux nouvelles règles de cybersécurité de la Commission des valeurs mobilières (SEC). L’essentiel des préoccupations concernait le nouveau devoir de divulgation à travers le formulaire 8-K pour certains incidents de cybersécurité matériels, ainsi que la gestion des stratégies de gestion des risques numériques.
Bon à savoir
- Les obligations de disclosure doivent être intégrées aux prochaines déclarations de l’Item 1C des formulaires 10-K.
- Les entreprises doivent désormais classifier les incidents de cybersécurité en termes d’impact matériel.
- Les déclarations de sécurité publiques doivent être soigneusement vérifiées pour éviter des informations susceptibles d’être exploitées par des acteurs malveillants.
Cet ensemble de réglementations croissantes concernant la cybersécurité reflète une prise de conscience accrue des risques associés aux violations de données et la nécessité d’une transparence accrue dans la manière dont ces incidents sont gérés et communiqués. À mesure que les entreprises se conforment à ces exigences, elles doivent naviguer habilement entre la protection des informations sensibles et les obligations de divulgation. Quelle sera la prochaine étape en matière de réglementation et de gestion des risques numériques dans un secteur en constante évolution ?
Julien, un excellent résumé sur les défis de la cybersécurité ! J’apprécie particulièrement l’idée des simulations pour évaluer les impacts. Ça donne envie de bien se préparer !