La SEC, le régulateur financier américain, adopte de nouvelles règles pour obliger les sociétés cotées en bourse à divulguer les incidents de cybersécurité en seulement quatre jours. Un modèle pour nos régulateurs nationaux ?

Les entreprises cotées en Bourse auront à divulguer les incidents cyber ou de piratage dans les quatre jours. La décision survient après qu’un certain nombre d’entreprises et d’organisations de premier plan ont été accusées de ne pas avoir divulgué un cyber-incident dans un délai approprié ou, pis, d’avoir dissimulé une attaque… Les émetteurs privés étrangers sont également obligés à fournir des informations comparables.

« En aidant à garantir que les entreprises divulguent des informations importantes sur la cybersécurité, les règles d’aujourd’hui profiteront aux investisseurs, aux entreprises et aux marchés qui les relient, commente Gary Gensler, President, SEC. Qu’une entreprise perde une usine dans un incendie  ou des millions de fichiers dans un incident de cybersécurité- cela peut être important pour les investisseurs. Actuellement, de nombreuses entreprises cotées fournissent des informations sur la cybersécurité aux investisseurs. »

Quatre jours ouvrables

Les nouvelles règles obligeront les déclarants à divulguer sur le nouvel élément 1.05 du formulaire 8-K tout incident de cybersécurité qu’ils jugent important et à décrire les aspects importants de la nature, de la portée et du moment de l’incident, ainsi que son impact important ou raisonnablement impact significatif probable sur le déclarant. Un formulaire 8-K de l’article 1.05 sera généralement dû quatre jours ouvrables après qu’un déclarant a déterminé qu’un incident de cybersécurité est important. La divulgation peut être retardée si le procureur général des États-Unis détermine que la divulgation immédiate présenterait un risque substantiel pour la sécurité nationale ou la sécurité publique et notifie la Commission de cette décision par écrit.

Les nouvelles règles ajoutent également le règlement S-K Item 106, qui obligera les déclarants à décrire leurs processus, le cas échéant, pour évaluer, identifier et gérer les risques matériels liés aux menaces de cybersécurité, ainsi que les effets matériels ou les effets matériels raisonnablement probables des risques de cybersécurité, menaces et incidents de cybersécurité antérieurs. L’article 106 exigera également que les personnes inscrites décrivent la surveillance par le conseil d’administration des risques liés aux menaces de cybersécurité et le rôle et l’expertise de la direction dans l’évaluation et la gestion des risques importants liés aux menaces de cybersécurité. Ces divulgations seront requises dans le rapport annuel d’une personne inscrite sur le formulaire 10-K.

Dès la mi-décembre

Les règles exigent des divulgations comparables par les émetteurs privés étrangers sur le formulaire 6-K pour les incidents de cybersécurité importants et sur le formulaire 20-F pour la gestion, la stratégie et la gouvernance des risques de cybersécurité.

Les règles finales entreront en vigueur 30 jours après la publication du communiqué d’adoption dans le Federal Register. Les divulgations des formulaires 10-K et 20-F seront dues à partir des rapports annuels pour les exercices se terminant le 15 décembre 2023 ou après. Les divulgations des formulaires 8-K et 6-K seront dues à compter du plus tardif des 90 jours après la date de publication au Federal Register ou le 18 décembre 2023.