Les directives de la SEC traitent de deux aspects : les politiques et procédures en matière de cybersécurité et des interdictions concernant les délits d’initiés.

Les directives énoncent les obligations d’information, soulignent l’importance du caractère significatif au moment de préparer les informations à fournir et énumère cinq éléments à considérer à ce sujet.

Les experts de Deloitte recommandent également aux sociétés ouvertes de prendre les cinq autres mesures suivantes :

1. évaluer les politiques et les procédures actuelles en matière de risques et d’incidents liés à la cybersécurité;
2. mettre en adéquation les cyberrisques et le cadre des risques opérationnels et établir une compréhension commune des considérations relatives au caractère significatif;
3. comprendre les obligations d’information en vertu des lois étatiques et fédérales, et mettre en place et maintenir des contrôles appropriés et efficaces à l’égard des informations à fournir sur les risques et les incidents liés à la cybersécurité;
4. examiner et mettre à jour les politiques et procédures en matière de délits d’initiés;
5. faire prendre conscience à la haute direction et au conseil d'administration des directives de la SEC et des obligations de la société, et évaluer et tester les processus de gestion des incidents, notamment au moyen de simulations de guerres de l’information.

Lire l’article sur le site web d’Accounting Today et les directives sur le site web de la SEC (en anglais).