Viviamo in un periodo in cui la sicurezza informatica riveste un ruolo fondamentale, non solo i nostri dati ma anche e soprattutto quelli di enti e aziende sono sotto la costante minaccia di attacchi informatici. Spesso e volentieri poi, che li subisce cerca di non far trapelare immediatamente la notizia, almeno non prima di aver in qualche modo arginato il problema.

Proprio questo aspetto ha spinto la SEC, Securities and Exchange Commission degli Stati Uniti ad adottare delle nuove regole, secondo le quali le aziende pubbliche dovranno segnalare eventuali attacchi informatici subiti con maggior celerità.

La SEC impone limiti di tempo per la segnalazione degli attacchi informatici

Secondo le nuove regole della SEC, le società pubbliche avranno l’obbligo di segnalare eventuali attacchi informatici subiti entro quattro giorni lavorativi dalla loro scoperta, divulgandone i dettagli con un modulo 8-K. Si tratta di documenti disponibili pubblicamente, con i quali le società informano gli azionisti sui principali cambiamenti avvenuti: questi documenti ora includeranno un nuovo articolo 1.05 per gli incidenti di sicurezza informatica.

Le informazioni da condividere su eventuali attacchi informatici dovranno includere informazioni su “natura, ambito e tempistica”, nonché “il suo impatto materiale o ragionevolmente probabile” sulla società.

La SEC ha però previsto un’eccezione al limite temporale dei quattro giorni, la divulgazione potrà infatti essere ritardata se il procuratore generale degli Stati Uniti determina che avvisare gli azionisti dell’incidente “rappresenterebbe un rischio sostanziale per la sicurezza nazionale o pubblica”.

Per l’occasione è stato preparato un nuovo regolamento SK Articolo 106 che sarà incluso nel deposito annuale del modulo 10-K di una società, sul quale le aziende dovranno basarsi per descrivere il processo che utilizzano “per valutare, identificare e gestire i rischi materiali derivanti dalle minacce alla sicurezza informatica”.

Il presidente della SEC Gary Gensler ha sottolineato i vantaggi offerti dal nuovo regolamento con la seguente dichiarazione:

Sia che un’azienda perda una fabbrica in un incendio o milioni di file in un incidente di sicurezza informatica, potrebbe essere importante per gli investitori. Attualmente, molte aziende pubbliche forniscono informazioni sulla sicurezza informatica agli investitori. Penso che le aziende e gli investitori allo stesso modo, tuttavia, trarrebbero vantaggio se questa divulgazione fosse resa in un modo più coerente, comparabile e utile alla decisione.

Le nuove regole entreranno in vigore a partire da 90 giorni dopo la data di pubblicazione nel registro federale o dopo il 18 dicembre 2023 (in base a quale evento si verifichi dopo), nel frattempo le aziende dovranno includere i loro protocolli di sicurezza informatica nei depositi del modulo 10-K a partire dall’anno fiscale che termina il 15 dicembre 2023 o successivamente.

Grazie alle nuove regole gli utenti americani saranno messi al corrente di eventuali attacchi informatici e conseguenti furti di dati personali in maniera molto più veloce e trasparente.

Potrebbe interessarti anche: Safer Internet Day 2023, il mondo si attiva per la sicurezza informatica