Komisi Sekuritas dan Bursa (SEC) baru-baru ini menerbitkan panduan baru yang bertujuan untuk membantu perusahaan publik mematuhi aturan pengungkapan keamanan siber. Aturan ini, yang difinalisasi pada Juli 2023, mengamanatkan bahwa perusahaan-perusahaan yang terdaftar di bursa AS harus melaporkan insiden keamanan siber yang material dalam waktu empat hari. Aturan ini juga mewajibkan pengungkapan tahunan atas strategi manajemen risiko dan struktur tata kelola yang terkait dengan keamanan siber. 

Panduan baru SEC, yang dirilis pada 24 Juni 2024, memberikan lima interpretasi kepatuhan dan pengungkapan (C&DI) yang mengklarifikasi bagaimana perusahaan harus menilai dan mengungkapkan peristiwa keamanan siber yang material. Panduan ini menggarisbawahi pentingnya melakukan penilaian materialitas secara menyeluruh untuk semua insiden keamanan siber, terlepas dari dampak finansial langsungnya. 

Salah satu poin penting dari panduan SEC adalah bahwa perusahaan harus menentukan materialitas insiden keamanan siber meskipun insiden tersebut dapat diselesaikan dengan cepat atau jika pembayaran uang tebusan ditanggung oleh asuransi. Panduan ini juga mencatat bahwa insiden kecil, jika dipertimbangkan secara kolektif, dapat dianggap material jika terkait atau mengeksploitasi kerentanan yang sama. 

Penilaian materialitas sangat penting dalam menentukan apakah peristiwa keamanan siber perlu diungkapkan kepada investor. SEC menekankan bahwa penilaian ini harus dilakukan setelah setiap insiden siber, dengan masukan dari penasihat sekuritas dan dewan perusahaan. Hal ini memastikan bahwa perusahaan memenuhi tanggung jawab pengungkapan mereka di bawah aturan SEC. 

Bagi perusahaan, panduan ini menyoroti perlunya proses penilaian materialitas yang kuat sebagai bagian dari strategi ESG dan keberlanjutan secara keseluruhan. Panduan ini juga memperkuat pentingnya manajemen risiko keamanan siber yang proaktif untuk memitigasi potensi dampak keuangan dan reputasi. 

Dengan meningkatnya fokus SEC pada pengungkapan keamanan siber, perusahaan publik harus memprioritaskan penilaian materialitas untuk memastikan kepatuhan dan transparansi dalam praktik pelaporan mereka. 

Sumber: 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html