В условиях стремительного роста киберугроз и постоянной эволюции информационных технологий, обеспечение кибербезопасности становится одной из ключевых задач для организаций по всему миру. Особенно это касается финансового сектора, где любое нарушение безопасности способно привести к масштабным последствиям не только для отдельных компаний, но и для всей экономики. В США недавно была принята новая регуляция – правило Комиссии по ценным бумагам и биржам (SEC), касающееся раскрытия информации о киберинцидентах, однако группа крупных банков и финансовых ассоциаций выступила с требованием отменить это правило, аргументируя свою позицию рядом серьезных проблем и рисков. В июле 2023 года SEC утвердила правило под названием «Управление киберрисками, стратегия, управление и раскрытие инцидентов», которое обязывает публичные компании своевременно сообщать о значимых киберинцидентах. По требованиям нового регулирования, компании должны раскрывать информацию о существенных инцидентах в течение четырех рабочих дней с момента определения их материальности, предоставляя подробные сведения о природе, масштабах, сроках происшествия и возможных последствиях.
Правило также предусматривает ежегодную отчетность о стратегии управления киберрисками и практике корпоративного управления в области информационной безопасности. Несмотря на благие намерения законодательного регулирования, инициатива вызвала обеспокоенность у представителей банковской сферы. Крупнейшие ассоциации, включая Американскую банковскую ассоциацию (ABA), Институт международных банкиров (IIB), Институт банковской политики (BPI), а также Независимую ассоциацию банкиров США (ICBA) и Ассоциацию индустрии ценных бумаг и финансовых рынков (SIFMA), объединились для подачи петиции с просьбой об отмене указанного правила либо исключении из него ключевых требований по раскрытию информации. Основной проблемой, на которую обращают внимание представители банковского сектора, является чрезмерная сложность и нагрузка, возникающая при необходимости оперативно публиковать детальные отчеты о киберинцидентах. Они отмечают, что подобные требования добавляют дополнительный уровень бюрократической нагрузки и накладываются на уже существующие многочисленные федеральные требования по отчетности.
По информации из отчета Департамента внутренней безопасности США за 2023 год, существует более сорока пяти отдельных обязательств по отчетности о киберинцидентах, которые регулируются двадцатью двумя федеральными агентствами. В такой ситуации финансовые учреждения сталкиваются с серьезными трудностями в организации внутренней коммуникации и управления рисками. Другая значимая критика касается требований раскрывать инциденты незамедлительно, даже если ситуация еще не полностью проанализирована или устранена. Банковские организации подчеркивают, что вынужденное публичное разглашение неполных сведений угрожает не только репутации компании, но и может негативно повлиять на процесс расследования и восстановительные меры. Неудачная или преждевременная публикация информации об активных инцидентах способна стимулировать киберпреступников, в том числе группы, занимающиеся программами-вымогателями, использовать эту информацию для усиления давления на пострадавшие организации.
Кроме того, новая регуляция вводит неудобства для инвесторов и рыночных участников, поскольку неполные или некорректно сформулированные отчеты могут приводить к неправильному восприятию рисков и снижению доверия к компаниям. Попытки SEC разъяснить требования и упростить их интерпретацию с помощью официальных писем, комментариев и его внутренней аналитики, по мнению банковской коалиции, не смогли решить основные проблемы, а лишь обнажили существующие сложности. За последний год банковская отрасль предпринимала неоднократные попытки влиять на регулятора задолго до внедрения правила, включая обращения с просьбой продлить срок подготовки к выполнению новых требований и смягчить условия отчетности. Однако эти инициативы не были учтены в полной мере, что побудило ассоциации к решительным действиям с подачей официальной петиции в мае 2025 года с требованием отмены либо хотя бы пересмотра наиболее спорных пунктов. Очевидно, что вопрос внедрения эффективных стандартов отчетности о киберинцидентах является крайне актуальным для обеспечения прозрачности и устойчивости финансовой системы.
В то же время регулирование не должно создавать дополнительные риски и препятствия для компаний, особенно в такой чувствительной и быстро меняющейся области, как кибербезопасность. Перспективы дальнейшего развития событий зависят от готовности SEC к диалогу с представителями отрасли и более глубокому учету специфики финансового сектора. Возможные реформы правила могут включать увеличение сроков для раскрытия информации, формирование более четких критериев материальности инцидентов и снижение административной нагрузки на организации. Также важным является совместное участие всех заинтересованных сторон в формировании сбалансированных и реалистичных стандартов, которые помогут одновременно повысить уровень кибербезопасности и обеспечить прозрачность рынка. Ситуация в США демонстрирует общую тенденцию — необходимость поиска оптимального баланса между контролем и поддержкой бизнеса, особенно когда речь идет о вопросах национальной безопасности и защите критической инфраструктуры.
![WTO Global Trade Outlook and Statistics 2025 [pdf]](/images/678A0D80-9511-4341-B843-03D7B694A5B6)
