L’aperçu s’intéresse également à l'incidence de la publication sur les directives émises par les permanents de la SEC en 2011.

La SEC a reconnu qu’elle ne s’attend pas à ce que les sociétés fournissent des informations suffisamment détaillées pour compromettre leurs efforts en matière de cybersécurité et qu’il se peut que les informations soient limitées aux stades préliminaires d’une enquête sur un incident lié à la cybersécurité. Néanmoins, la SEC a souligné qu’à mesure que les informations deviennent disponibles, il incombe aux sociétés inscrites de fournir les informations appropriées pour maintenir les investisseurs informés et de trouver un équilibre entre le besoin de fournir des informations dans un délai opportun et le niveau de détail qu’elles peuvent fournir au sujet des incidents. Bien que la collaboration avec les forces de l’ordre dans le cadre d’une enquête en cours sur un incident significatif lié à la cybersécurité puisse être nécessaire et puisse influencer l’étendue des informations à fournir, celle-ci ne saurait justifier à elle seule l’omission d’informations à fournir significatives.

Consulter l’aperçu sur le site web du Wall Street Journal (en anglais).