SEC의 말, 그리고 전 세계가 듣다

2023년 7월 26일, 미국 증권거래위원회(SEC )가 주요 사이버 사고 보고, 사이버 보안 위험 관리, 전략 및 거버넌스와 관련된 공시에 관한 새로운 규칙을 도입하면서 규제 발표가 재계에 큰 충격을 주었습니다. 기업의 공시 관행을 표준화하고 개선하기 위해 마련된 이 새로운 규칙은 미국에서 운영되는 모든 상장 기업( )과 많은 소규모 및 외국 기업에 적용됩니다. SEC는 전 세계 규제 표준의 개발과 채택에 큰 영향력을 행사하고 있으며, 다른 국가 및 관할권의 규제 당국도 이를 따르는 경우가 많으므로 모든 기업 리스크 이해관계자는 새로운 규칙과 그 영향을 인지하고 있어야 합니다.

SEC는 개인과 기업( )이 "보다 일관되고 비교 가능하며 의사 결정에 유용한 정보"를 확보할 수 있도록 하기 위해 이 조치를 취했습니다.¹ 를 확보하기 위한 조치입니다. 가장 간단한 용어로 "실질적으로 관련성 있는" 정보입니다. SEC의 오랜 정의에 따르면 자료 정보는 "평균적인 신중한 투자자가 등록된 증권을 구매하기 전에 합리적으로 알고 있어야 하는 사항과 관련된 정보"입니다.² 이는 잘 정립된 원칙이며 새로운 규정이 이를 변경하지는 않습니다. 대신, SEC가 발표에서 밝혔듯이 "경제 활동의 점점 더 많은 부분이 전자 시스템에 의존하고 있으며, 이러한 시스템에 대한 중단은 [기업]에 상당한 영향을 미칠 수 있고 대규모 공격의 경우 경제 전체에 시스템적인 영향을 미칠 수 있기 때문에 중요성이 사이버 공간까지 확장된다는 점을 분명히 했습니다."³ SEC는 이어서 "기업들이 사이버 보안 사고를 과소 보고하고 있다는 증거가 있다"며 "투자자들이 정보에 입각한 투자 결정을 내리기 위해서는 보다 시의적절하고 일관된 사이버 보안 공시가 필요하다"고 말했습니다.⁴

새로운 SEC 규정은 다음 섹션에서 설명할 두 가지 기본 공개 유형을 다룹니다.

인시던트 공개("현재 공개")

SEC 에서 사이버 공격, 데이터 침해 및 기타 장애를 포함한 보안 사고 공개 요건을 근본적으로 변경했습니다. 여기에는 다음 사항이 포함됩니다:

• "사이버 보안 사고"의 정의가 "일련의 관련 무단 발생"을 포함하도록 대폭 확대되었습니다. 이는 사이버 공격 ...