Règles finales de la SEC : focus sur la cybersécurité
Les menaces et les incidents liés à la cybersécurité continuent de représenter des risques importants pour les entreprises publiques, les investisseurs et les acteurs du marché à l'échelle mondiale. Le coût de ces incidents pour les entreprises et les investisseurs continue de croître. Afin d'améliorer et de normaliser les informations fournies par les entreprises publiques en matière de gestion des risques de cybersécurité, de stratégie de cybersécurité, de gouvernance et d'incidents liés à la cybersécurité matérielle, la Securities and Exchange Commission (SEC) des États-Unis a proposé et adopté de nouvelles règles.
Le 26 juillet 2023, la SEC a adopté les règles finales "Gestion des risques de cybersécurité, stratégie, gouvernance et divulgation des incidents" pour normaliser et améliorer les divulgations relatives aux incidents de cybersécurité et aux processus de gestion des risques.
Qu'est-ce que la SEC ?
La SEC est une agence de réglementation fédérale indépendante des États-Unis fondée en 1934 et chargée de protéger les investisseurs, de maintenir un fonctionnement équitable et ordonné des marchés, des valeurs mobilières et de faciliter la formation de capital. Les agences fédérales, en général, font partie de la branche exécutive du gouvernement. Ces agences sont mandatées par le Congrès pour publier des règlements basés sur les lois édictée par le Congrès. Le processus de publication de nouvelles réglementations s'appelle "établissement de règles".
Règles de divulgation en matière de cybersécurité
La SEC publie des règles finales pour clarifier l'interprétation de la législation fédérale et la manière dont les lois doivent être mises en œuvre. L'agence peut également définir les exigences et interdictions, ainsi que publier des directives ou d'autres déclarations de politique générale.
Les règles finales publiées en juillet 2023 sur les divulgations en matière de cybersécurité sont entrées en vigueur à compter du 5 septembre 2023. Les sociétés cotées en bourse aux États-Unis doivent désormais fournir des informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité à la SEC en commençant par leurs rapports annuels pour l'exercice financier se terminant le 15 décembre 2023 ou après cette date. Et pour les exigences de divulgation des incidents de cybersécurité importants énoncées à la rubrique 1.05 du formulaire 8-K, les entreprises doivent commencer à s'y conformer le 18 décembre 2023.
Les entreprises qui se qualifient comme "petites sociétés déclarantes" disposent de 180 jours supplémentaires pour commencer à déclarer le point 1.05 sur le formulaire 8-K. Ces petites sociétés déclarantes commenceront à divulguer les cyberincidents importants à compter du 15 juin 2024.
Les règles finales incluent également des exigences de déclaration et de divulgation pour les émetteurs privés étrangers (EPE). Il s'agit notamment du formulaire 20-F pour les rapports annuels et du formulaire 6-K pour les rapports actuels. Les EPE sont réglementés différemment et ont des exigences liées à leur pays d'origine et à leurs exigences en matière de rapports.
