(AGENPARL) - Roma, 24 Febbraio 2023(AGENPARL) – ven 24 febbraio 2023 Alle Redazioni
A integrazione dell’email inviato nei giorni scorsi sul convegno di lunedì 27 e martedì 28 febbraio l’Ufficio Stampa della Consob segnala – qualora possa essere utile – innanzi tutto una versione aggiornata della locandina, che contiene anche il link allo streaming (la versione precedente non lo conteneva).
In secondo luogo forniamo qualche informazione di background che può servire ad inquadrare meglio i temi.
Il tema è la cybersecurity in relazione alle società quotate in Borsa dal punto di vista degli Stati Uniti e della Ue.
Verrà analizzata la questione se la cybersecurity debba entrare nella comunicazione obbligatoria delle quotate solo in caso di attacco hacker ovvero se debba entrarci stabilmente, nel bilancio di esercizio e nella semestrale, per dar conto agli azionisti e al mercato della robustezza o della vulnerabilità di un’impresa rispetto al rischio cyber. Gli Stati Uniti sono incamminati verso questa seconda opzione. Nella Ue, invece, la cybersecurity viene trattata come un qualsiasi evento price sensitive da comunicare solo nel momento in cui dovesse presentarsi un’emergenza. Il convegno sarà l’occasione per una riflessione su questi temi anche nella prospettiva di una possibile evoluzione normativa in ambito Ue.
Sentiremo, tra gli altri, gli interventi di Luna Bloom e David Joire della Sec, di Alexander Harris dell’Esma e di Paolo Ciocca della Consob.
L’appuntamento è a Milano nella sede dell’Università Cattolica nel pomeriggio di lunedì 27 febbraio e nella mattinata di martedì 28.
A seguire i riferimenti normativi e negli allegati qualche spiegazione tecnica.
The SEC’s new proposed rule (in particular “Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies”, cfr. https://www.sec.gov/rules/proposed/2022/33-11038.pdf) requires public companies to report material cybersecurity incidents within four business days after determining that an event has occurred. Companies must also provide periodic updates of previously reported cybersecurity incidents and share their cybersecurity risk management policies and procedures, including how they engage with third-party assessors or consultants or how cybersecurity risk might impact the company’s financials.
In SEC’s view, although registrants’ disclosures of both cybersecurity incidents and risk management have improved during the last years, disclosure practices are still inconsistent. The proposed amendments are designed to better inform investors about registrant’s risk management, strategy and governance, and to provide timely notification of material cybersecurity incidents.
Therefore, the proposed rules cover two areas of interest about the public disclosure related to: a) material cybersecurity incidents; b)preparedness (i.e. policies and procedures, including of cybersecurity registrants business strategy).
During the workshop the SEC’s staff will give also an overview of the proposed rules “Cybersecurity Risk Management for Investment Advisers, Registered Investment Companies, and Business Development Companies” (cfr. https://www.sec.gov/rules/proposed/2022/33-11028.pdf). In brief these proposed rules would require advisers and funds to adopt and implement written cybersecurity policies and procedures designed to address cybersecurity risks that could harm advisory clients and fund investors; to report significant cybersecurity incidents affecting the adviser or its fund or private fund clients to the SEC on a new confidential form and in no event more than 48 hours;to publicly disclose cybersecurity risks and significant cybersecurity incidents that occurred in the last two fiscal years in their brochures and registration statements
Di seguito i link ai due comunicati stampa della Sec (vedere in particolare il primo dei due, quello di marzo 2022).
[SEC.gov | SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies](https://www.sec.gov/news/press-release/2022-39)
[SEC.gov | SEC Proposes Cybersecurity Risk Management Rules and Amendments for Registered Investment Advisers and Funds](https://www.sec.gov/news/press-release/2022-20)
Il convegno sarà in inglese senza traduzione italiana.