2024년 6월 24일, SEC의 기업 재무부에서는 양식 8-K의 항목 1.05에 따른 사이버 보안 사고 보고를 명확히 하고 특히 랜섬웨어 지불과 관련된 상황을 다루기 위해 5개의 새로운 규정 준수 및 공시 해석(C&DI)을 발표했습니다. 이러한 업데이트는 최근 사이버 보안 공시에 대한 기업 재무 책임자 Erik Gerding의 지침에 따른 것입니다. 2023년 7월 26일에 채택된 양식 8-K의 항목 1.05에 따르면 상장 기업은 중대한 사이버 보안 사고가 발생하면 사고의 중대성을 판단한 후 4일 이내에 그 성격, 범위, 시기, 회사의 재무 상태 및 운영에 미치는 영향을 자세히 설명하여 공개해야 합니다. 기업은 사고의 중대성을 즉시 평가하고 새로운 중요 정보가 발생하는 경우 공시를 수정해야 합니다. 

새로운 C&DI는 기업이 랜섬웨어 공격의 심각성을 평가해야 한다는 점을 강조하며, 이러한 결정을 내리기 전에 금전 지급으로 사고가 해결되더라도 랜섬웨어 공격의 심각성을 평가해야 한다고 명시하고 있습니다. 금전 지급으로 인해 사고가 중단되었다고 해서 기업의 이러한 의무가 면제되는 것은 아닙니다. 랜섬웨어 공격이 중대한 것으로 간주되는 경우, 기업은 제출 마감일 전에 지급으로 사고가 종료되었는지 여부와 관계없이 양식 8-K의 항목 1.05에 따라 이를 보고해야 합니다. 또한 랜섬웨어 지불을 보장하는 사이버 보험이 있다고 해서 자동으로 사고가 중요하지 않은 것으로 간주되는 것은 아닙니다. 랜섬웨어 지불 규모만으로는 중대성을 결정할 수 없으며, 기업은 운영, 재무 및 평판에 미치는 광범위한 영향을 포함하여 관련된 모든 정량적, 정성적 요소를 고려해야 합니다. 또한 개별적으로는 중요하지 않은 여러 관련 사이버 보안 사고가 발생하는 경우, 이러한 사고가 총체적으로 중대한 사건에 해당하는지 평가해야 합니다. 

게르딩 국장의 지침은 항목 1.05에 따라 중대한 사이버 보안 사고만 공개해야 한다는 점을 강조합니다. 중요하지 않은 사고를 자발적으로 공개하는 경우, 기업은 투자자의 혼란을 피하기 위해 항목 8.01과 같은 다른 양식 8-K 항목을 사용해야 합니다. 기업은 중요성 평가 시 재정적 손실과 같은 정량적 영향과 평판 손상 및 고객 신뢰와 같은 정성적 영향을 모두 고려해야 합니다. 이러한 포괄적인 접근 방식은 투자자에게 명확하고 정확한 정보를 제공함으로써 강력한 사이버 보안 위험 관리와 ESG 관련 공시의 투명성에 대한 SEC의 강조에 부합합니다. 

출처: 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/