La Securities and Exchange Commission (SEC), gendarme des marchés étatsuniens, adopte de nouvelles règles qui vont obliger les entreprises cotées en bourse à divulguer sous 4 jours les incidents de cybersécurité importants. Elles devront par ailleurs faire un rapport chaque année sur leur stratégie en matière de gestion et de gouvernance des risques. Les émetteurs privés étrangers devront eux aussi fournir des informations comparables.
« Qu’une entreprise perde une usine dans un incendie – ou des millions de fichiers dans un incident de cybersécurité – cela peut être important pour les investisseurs », a déclaré dans un communiqué Gary Gensler, président de la SEC, pour justifier cet effort de transparence. « Actuellement, de nombreuses entreprises publiques fournissent des informations sur la cybersécurité aux investisseurs. Je pense cependant que les entreprises et les investisseurs gagneraient à ce que cette divulgation soit faite de manière plus cohérente, comparable et utile à la prise de décision »
Les entreprises disposeront de quatre jours ouvrables pour remettre leur formulaire (8-K) de rapport d’incident. Celui-ci devra décrire la nature, la portée, la date de découverte de l’incident ainsi que l’impact constaté ou probable sur l’entreprise. Une procédure spéciale est prévue pour les incidents dont la divulgation immédiate présente un risque pour la sécurité publique ou nationale.
Les entreprises devront par ailleurs décrire dans un rapport annuel comment le conseil d’administration surveille les risques liés aux menaces de cybersécurité et le rôle et l’expertise de la direction dans l’évaluation et la gestion des risques importants liés aux menaces de cybersécurité.
Ces nouvelles règles doivent entrer en vigueur 30 jours après la publication du communiqué d’adoption. La remise des formulaires de divulgation sera obligatoire à compter du 18 décembre 2023 mais les petites entreprises auront 180 jours supplémentaires pour se préparer.