5つの主要な銀行業界グループが正式にSecurities and Exchange Commission(SEC)に対して サイバーセキュリティインシデント開示規則の廃止を要求しました。この規制は国家安全保障の努力を妨害し、 解決する問題よりも多くの問題を引き起こすと主張しています。American Bankers Associationは5月22日に 公開開示要件の基礎を挑む手紙を率いています。
知っておくべきこと:
- 5つの銀行グループは、SECのサイバーセキュリティ開示規則が重要なインフラを 保護するための機密報告と矛盾すると主張
- データ流出のようなインシデントを迅速に公開開示することが求められるが、 銀行はこれがランサムウェア犯罪者を助け、対応努力を阻害すると言う
- 銀行協力体は、サイバーセキュリティインシデントの投資家への通知を行う フォーム8-K報告要件から項目1.05の廃止を望んでいる
業界協力体、主な開示メカニズムを狙う
この協力体には、証券産業および金融市場協会、銀行政策研究所、 米国独立コミュニティ銀行連盟、国際銀行家協会が含まれています。 これらのグループは、米国内の数千の金融機関を代表しています。 彼らの請願は、SECのフォーム8-K報告要件内の「項目1.05」を 特に対象としています。
フォーム8-Kは上場企業に影響を与える重要な出来事について 投資家に公に通知するための主要手段として機能します。
サイバーセキュリティ条項は、事業または財務状態に 実質的な影響を与える可能性のあるインシデントを企業に 開示することを求めます。銀行グループは、このメカニズムが 透明性よりも多くの害を生むと主張しています。
SECのサイバーセキュリティリスク管理規則は、2023年7月に 公表後に発効しました。企業はデータ流出や システムの侵害を含むサイバーセキュリティインシデントを 迅速に開示しなければなりません。この規制は、 投資家にサイバーリスクについてタイムリーな情報を提供し、 投資に影響を与える可能性のあるリスクについて 情報を得ることを目的としています。
銀行、業務上およびセキュリティ上の懸念を指摘
銀行の代表者は、開示要件が重要なインフラを 保護するための既存の機密報告システムと直接矛盾すると論じます。 彼らは迅速な公開開示がインシデント対応手続きや 法執行機関の調査を妨げると主張しています。 規制に組み込まれた複雑な遅延メカニズムが義務的および 任意開示義務の間に混乱を引き起こしていることを報じます。
ランサムウェア犯罪者たちは、開示要件を利用して 被害者に迅速な身代金の支払いを迫るための 恐喝ツールとして公表のタイムラインを利用していると 銀行連盟は言います。この発展はサイバーセキュリティ インシデント対応のダイナミクスを根本的に 変化させました。