SEC、投資会社およびアドバイザー向けのサイバー規則を撤回

証券取引委員会（SEC）は、バイデン政権下で提案された投資会社および投資アドバイザー向けのサイバーセキュリティ規制を撤回しています。

先週の通知で、SECはこれらの会社およびアドバイザーに対してサイバーセキュリティリスクに対処するための書面による方針を策定し、重大なサイバーセキュリティインシデントを委員会に報告することを求める未決定の規則を撤回すると述べました。また、過去2会計年度のサイバーインシデントとリスクを公開登録フォームで報告することも求められていました。

これは、ドナルド・トランプ大統領の下でのSECによる広範な規制緩和の一環であり、同時に人工知能の使用やアウトソーシングに関する提案された規則を撤回しています。また、業界団体がSECに対して、より大きな敵意の源となっている規則、すなわち重大なサイバーセキュリティインシデントの迅速な公表を求める規則を撤回するよう求めている中でのことです。

「提案された規則と修正は、サイバーセキュリティの準備を強化し、アドバイザーやファンドがサイバーセキュリティの脅威や攻撃に対する回復力に対する投資家の信頼を向上させる可能性があります」とゲンスラーは述べました。

2023年、委員会は規則に対する公的コメント期間を再開し、「関心のある人々が他の規制の進展を考慮して問題を分析し、コメントを準備するための追加の時間を提供する」と述べました。これには、サイバーセキュリティリスク管理および開示に関連する他の委員会提案がどのような影響を及ぼすかを考慮する必要があるかどうかも含まれます。

少なくとも2つの大手投資アドバイザー会社、フィデリティ・インベストメンツとプルデンシャルは、昨年大規模なデータ侵害を受けました。ある擁護団体、ベター・マーケッツは、昨年SECへのコメントでこれらのインシデントを指摘しました。

「ブローカー・ディーラーおよび投資アドバイザーがサイバーセキュリティプログラムを採用する必要性は、SECが提案された規則を発行して以来、ますます明白になっています」と、ベター・マーケッツの証券政策ディレクターであるベンジャミン・シフリンは書いています。

しかし、業界団体は、この規則が利益よりも害を及ぼすと主張しました。

「過去のインシデントを含むサイバーリスクに関する詳細な情報を開示することは、敵対者が攻撃の影響を最大化するために戦術や技術を洗練するのに役立つ可能性があります」と、銀行政策研究所のBITSのシニアバイスプレジデントであるヘザー・ホグセットは書いています。「さらに、委員会のいくつかの提案に示されている進行中のインシデントの公的開示は、他の規制当局が機密インシデント報告を活用し、他の潜在的な被害者に警告する能力を損なうでしょう。インシデントが高度な国家的敵対者を含む場合、この開示は法医学と脅威アクターの帰属を複雑にし、追加の国家安全保障上の懸念を生じさせる可能性があります。」

彼女はまた、この規則がサイバー攻撃から注意をそらし、規制遵守に向ける可能性のあるサイバーセキュリティ規制の増加する網に追加されると述べました。

ホグセットは、CyberScoopへの声明でSECの新しいアプローチを称賛しました。

「バイデン政権のSECは、ルール作成において質よりも量を優先し、現在のSECが実際に機能するものを再評価する意欲を評価しています」と彼女は述べました。「サイバーセキュリティの専門家に手続き的な遵守事項により多くの時間を費やさせることは、金融システムをより安全にするものではなく、実際の脅威からリソースをそらすだけです。」