TechCrunch nhận định quy định mới tác động đáng kể đối với các tổ chức và doanh nghiệp, khi các công ty lập luận rằng quy tắc mới có thể tạo ra nhiều rủi ro hơn và 4 ngày là không đủ thời gian để xác nhận vi phạm, đánh giá tác động, cũng như phối hợp công bố thông tin.
Theo quy định quản lý dữ liệu mới, được Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) phê duyệt lần đầu vào tháng 7, các tổ chức phải báo cáo sự cố an ninh mạng, chẳng hạn như vi phạm dữ liệu, tới cơ quan này theo biểu mẫu (8-K) trong vòng bốn ngày làm việc.
Cơ quan quản lý cho hay, các quy tắc này nhằm tăng cường khả năng minh bạch về quản trị an ninh mạng và cung cấp thông tin theo cách “nhất quán, có thể so sánh và hữu ích cho quyết định”.
“Việc một công ty cháy xưởng sản xuất, hay hàng triệu hồ sơ bị ảnh hưởng bởi sự cố an ninh mạng, đều có thể là vấn đề quan trọng với các nhà đầu tư”, chủ tịch SEC Gary Gensler cho biết.
Trong hồ sơ 8-K, các tổ chức phải mô tả tính chất, phạm vi, thời gian và tác động trọng yếu của sự cố, bao gồm cả tài chính và hoạt động.
Đáng chú ý, quy định này không yêu cầu các công ty tiết lộ bất kỳ thông tin nào “liên quan đến tình trạng khắc phục sự cố, liệu nó có đang diễn ra hay không và dữ liệu có bị xâm phạm hay không” vì điều này có thể ảnh hưởng đến các nỗ lực khắc phục đang diễn ra.
“Điều này có nghĩa là các công ty phải sẵn sàng các biện pháp kiểm soát và quy trình thích hợp để đảm bảo rằng có thể đưa ra quyết định quan trọng sau khi phát hiện sự cố an ninh mạng”, Jane Norberg, đối tác trong cơ quan Thực thi Bảo vệ Chứng khoán tại công ty luật Arnold trụ sở tại Washington D.C, nói.
Các công ty nhỏ hơn, được SEC định nghĩa là các công ty có doanh thu hàng năm dưới 250 triệu USD hoặc dưới 100 triệu USD, sẽ được gia hạn 180 ngày trước khi phải nộp Mẫu 8-K báo cáo sự cố.
Ngoài ra còn có một ngoại lệ đối với thời hạn 4 ngày, sau khi các doanh nghiệp lập luận rằng việc công khai sớm lỗ hổng an ninh mạng hoặc sự cố, có thể cản trở các cuộc điều tra thực thi pháp luật đang diễn ra.
SEC cho biết việc tiết lộ thông tin có thể bị trì hoãn nếu Bộ Tư pháp xác định động thái này có thể “gây ra rủi ro đáng kể đối với an ninh quốc gia hoặc an toàn công cộng”.