このHelp Net Securityの動画では、KiteworksのグローバルフィールドCTOを務めるRick Goud氏が、セキュリティインシデント発生時におけるSEC、NIS2、DORAの開示タイムラインへの対応方法について解説しています。
Goud氏は午前3時47分にかかってきた電話から話を始めます。顧客データが社外に流出したかどうかまだ確認できない状況で、3つの規制当局がそれぞれのカウントダウンを同時にスタートさせた、という場面です。同氏は、金融サービスを手がけるヨーロッパの上場企業を具体例に挙げ、各規制がそれぞれ異なる問いを投げかけながら、同じタイミングで回答を求めてくる実態をわかりやすく説明しています。また、事実関係が不明確な段階で何を伝えるべきか、早期開示が第二の問題を引き起こしかねない理由、そして法務・投資家・規制当局・顧客への連絡をどのような順序で行うべきかについても詳しく解説しています。
さらにGoud氏は、通知内容の一貫性を保つための「読み返しルール」を紹介し、開示の信頼性はその裏付けとなる証拠の質に左右されると強調しています。最後のメッセージは明確です。「電話が鳴る前に、信頼性の高い一本の監査証跡を支えるデータアーキテクチャを構築しておくこと」——それが本質的な備えであると締めくくっています。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/incident-disclosure-timelines-video/
ソース: helpnetsecurity.com
