 |
市場調査レポート
商品コード
1354227
SECの4日間報告規則が、重要性の定義に新たな重要性をもたらすThe SEC's Four-Day Reporting Rule Presents a Critical New Need to Define Materiality |
||||||
| SECの4日間報告規則が、重要性の定義に新たな重要性をもたらす |
|
出版日: 2023年09月27日
発行: IDC
ページ情報: 英文 11 Pages
納期: 即納可能
 |
- 全表示
- 概要
- 目次
このIDCの展望では、重要性を定義する重要な新しい必要性を提示するSECの4日間報告規則について説明します。ウォール街の最高規制機関である米国証券取引委員会は、重要なサイバー侵害が発生したと判断してから4日以内に開示することを企業に義務付ける新しいサイバーセキュリティ規制を採択しました。これまでは、情報漏えいの通知は主に「不合理な遅延なく」通知することを求める規制や業界ルールによって進められてきました。SECの新ルールは、公開会社に対するハードルを引き上げ、インシデントが発生したことを知ることを要求するだけでなく、会社の財務状態、業務、顧客関係、評判に重大な影響が及ぶ可能性がある場合、取締役会が事実に基づいて迅速に把握することを要求しています。「IDCのITエグゼクティブ・プログラム(IEP)の非常勤リサーチ・アドバイザーを務めるアリサベス・カルダー氏は、「インシデントの重要性に基づく評価と報告は、上場企業のCIOやCISOにとって、新たな重要な分析レベルを追加するものです。「96時間ルールが、インシデントが実際に重要であり、報告対象であるかどうかについての慎重な判断を損なうような緊急事態に巻き込まれないよう、インシデントの発生に先立ち、最善の解釈とガードレールで武装する必要があります。SECの規則が吸収されるにつれて参考資料が増えることを楽しみにしており、詳細が明らかになるにつれて、我々の考えや指針をより鮮明にしていくつもりです。"
エグゼクティブスナップショット
状況の概要
テクノロジー購入者へのアドバイス
- 何を報告する必要があるかを明確にする:リスク選好
- 承認されたリスク許容度に基づいて評価、監視、報告するためのデータがあることを確認する
- インシデントの影響を定義および測定する方法
- インシデントを報告する方法
- 事前に計画を立てて侵害通知とコンプライアンスの影響を軽減する
参考資料
- 関連調査
- 要約
This IDC Perspective discusses SEC's four-day reporting rule that presents a critical new need to define materiality. Wall Street's top regulator, the U.S. Securities and Exchange Commission, has adopted new cybersecurity rules that require companies to disclose a material cyberbreach within four days of determining that the breach is material. Until now, breach notification has been driven primarily by regulations or industry rules requiring notification "without unreasonable delay," which affords a fair amount of bandwidth within which to understand and assess a situation and then determine the most appropriate path forward. The new SEC rules raise the bar for publicly traded companies, not only demanding that they know that an incident has occurred but also requiring their boards to quickly get fact based regarding where there is significant potential impact on the company's financial position, operations, customer relationships, or reputation. "Assessing and reporting based on materiality of an incident adds a new and critical level of analysis for CIOs and CISOs in publicly traded companies," says Alizabeth Calder, adjunct research advisor for IDC's IT Executive Programs (IEP). "We need to arm ourselves with the best possible interpretation and guardrails in advance of an incident, so we don't get caught in situational urgency where the 96-hour rule undermines prudent decisions about whether the incident is actually material and thus reportable. We look forward to learning more as the SEC rules are absorbed and will sharpen our thoughts and guidance as more details emerge."
Executive Snapshot
Situation Overview
Advice for the Technology Buyer
- Have Clarity on What Needs to Be Reported: The Risk Appetite
- Ensure That You Have the Data to Assess, Monitor, and Report in the Context of the Approved Risk Tolerance
- How to Define and Measure the Incident Impact
- How to Report an Incident
- Reduce the Impact of Breach Notification and Compliance by Planning Ahead
Learn More
- Related Research
- Synopsis
