O projeto de lei define uma ameaça de segurança cibernética como qualquer ação não protegida pela Primeira Emenda que "pode resultar em um esforço não autorizado para impactar negativamente a segurança, a disponibilidade, a confidencialidade ou a integridade de um sistema de informação ou informações armazenadas, Processado por, ou transitando um sistema de informação ... "
O projeto de lei, em seguida, propõe apenas três requisitos sob a égide da Comissão de Valores Mobiliários (SEC): que os relatórios anuais à SEC deve divulgar o nível de conhecimentos de segurança cibernética do conselho; Ou, caso não exista, quais "outras medidas de segurança cibernética tomadas pela empresa relatora foram levadas em conta"; E que a definição do que constitui essa especialização deve vir da SEC em consulta com o NIST.
https://www.congress.gov/115/bills/s536/BILLS-115s536is.pdf
Em conjunto, esses dois exemplos de novas regulamentações sugerem que as autoridades reguladoras não estão mais satisfeitas em formular recomendações sobre a responsabilidade de segurança no nível de diretoria, mas estão agora prontas para exigir legalmente.
A implicação é que já não é suficiente que as organizações devem ter conselhos de segurança no conselho, ele vai se tornar cada vez mais uma exigência legal.
No comments:
Post a Comment