미국 증권거래위원회(SEC)는 최근 상장 기업이 사이버 보안 공시 규정을 준수하도록 돕기 위한 새로운 지침을 발표했습니다. 2023년 7월에 확정된 이 규칙에 따르면 미국 거래소 상장 기업은 중대한 사이버 보안 사고를 4일 이내에 보고해야 합니다. 또한 사이버 보안과 관련된 위험 관리 전략 및 거버넌스 구조를 매년 공개해야 합니다. 

2024년 6월 24일에 발표된 SEC의 새로운 지침은 기업이 중대한 사이버 보안 사건을 평가하고 공개하는 방법을 명확히 하는 5가지 규정 준수 및 공개 해석(C&DI)을 제공합니다. 이 지침은 즉각적인 재무적 영향에 관계없이 모든 사이버 보안 사고에 대해 철저한 중대성 평가를 실시하는 것이 중요하다는 점을 강조합니다. 

SEC 지침의 주요 내용 중 하나는 사고가 신속하게 해결되거나 몸값 지불이 보험으로 보장되는 경우에도 기업은 사이버 보안 사고의 중대성을 판단해야 한다는 것입니다. 이 지침은 또한 작은 사건이라도 서로 관련이 있거나 동일한 취약점을 악용하는 경우 종합적으로 고려할 때 중요한 것으로 간주될 수 있다고 언급합니다. 

중요성 평가는 사이버 보안 사건을 투자자에게 공개해야 하는지 여부를 결정하는 데 매우 중요합니다. SEC는 이러한 평가가 모든 사이버 사고가 발생한 후 외부 증권 자문 및 기업 이사회의 의견을 수렴하여 수행되어야 한다고 강조합니다. 이를 통해 기업은 SEC 규정에 따른 공시 책임을 다하고 있는지 확인할 수 있습니다. 

이 지침은 기업에게 전반적인 ESG 및 지속가능성 전략의 일환으로 강력한 중대성 평가 프로세스의 필요성을 강조합니다. 또한 잠재적인 재무 및 평판 영향을 완화하기 위한 사전 예방적 사이버 보안 위험 관리의 중요성을 강조합니다. 

사이버 보안 공개에 대한 SEC의 관심이 높아짐에 따라 상장 기업은 보고 관행의 규정 준수와 투명성을 보장하기 위해 중요성 평가의 우선순위를 정해야 합니다. 

출처: 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html