Pada tanggal 24 Juni 2024, Divisi Keuangan Korporasi SEC menerbitkan lima Interpretasi Kepatuhan dan Pengungkapan (C&DI) baru untuk mengklarifikasi pelaporan insiden keamanan siber berdasarkan Butir 1.05 Formulir 8-K, yang secara khusus membahas situasi yang melibatkan pembayaran ransomware. Pembaruan ini mengikuti panduan terbaru dari Direktur Keuangan Korporasi Erik Gerding tentang pengungkapan keamanan siber. Butir 1.05 Formulir 8-K, yang diadopsi pada tanggal 26 Juli 2023, mengharuskan perusahaan publik untuk mengungkapkan insiden keamanan siber material dalam waktu empat hari setelah menentukan materialitas insiden, yang merinci sifat, cakupan, waktu, dan dampaknya terhadap kondisi keuangan dan operasi perusahaan. Perusahaan harus segera menilai materialitas insiden dan mengubah pengungkapan jika muncul informasi material baru. 

C&DI yang baru menekankan bahwa perusahaan harus menilai materialitas serangan ransomware bahkan jika pembayaran menyelesaikan insiden tersebut sebelum membuat penentuan ini. Penghentian insiden karena pembayaran tidak membebaskan perusahaan dari kewajiban ini. Jika serangan ransomware dianggap material, perusahaan harus melaporkannya berdasarkan Butir 1.05 Formulir 8-K, terlepas dari apakah pembayaran mengakhiri insiden tersebut sebelum batas waktu pengajuan. Selain itu, keberadaan asuransi siber yang menanggung pembayaran ransomware tidak secara otomatis membuat insiden tersebut tidak material. Ukuran pembayaran ransomware saja tidak menentukan materialitas; perusahaan harus mempertimbangkan semua faktor kuantitatif dan kualitatif yang relevan, termasuk dampak yang lebih luas pada operasi, keuangan, dan reputasi. Lebih jauh, jika perusahaan mengalami beberapa insiden keamanan siber terkait yang secara individual tidak material, perusahaan harus mengevaluasi apakah insiden-insiden ini secara kolektif merupakan peristiwa material. 

Panduan Direktur Gerding menyoroti bahwa hanya insiden keamanan siber yang material yang harus diungkapkan berdasarkan Item 1.05. Untuk pengungkapan insiden nonmaterial secara sukarela, perusahaan harus menggunakan item Formulir 8-K yang berbeda, seperti Item 8.01, untuk menghindari kebingungan investor. Perusahaan harus mempertimbangkan dampak kuantitatif, seperti kerugian finansial, dan dampak kualitatif, seperti kerusakan reputasi dan kepercayaan pelanggan, dalam penilaian materialitas mereka. Pendekatan komprehensif ini memastikan bahwa investor menerima informasi yang jelas dan akurat, sejalan dengan penekanan SEC pada manajemen risiko keamanan siber yang kuat dan transparansi dalam pengungkapan terkait ESG. 

Sumber: 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/