Nhận thấy tầm quan trọng của việc bảo vệ các nhà đầu tư và người dùng, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã đưa ra một yêu cầu mới đòi hỏi các công ty tiền điện tử được niêm yết tại Hoa Kỳ phải báo cáo các vi phạm liên quan đến an ninh mạng.
Theo SEC, tất cả các công ty niêm yết, bao gồm cả các công ty tiền điện tử, sẽ phải công bố các báo cáo hàng năm về quản lý, chiến lược và quản trị rủi ro an ninh mạng.
Mục đích của yêu cầu này là đảm bảo rằng các công ty có những biện pháp bảo mật mạnh mẽ để bảo vệ thông tin và tài sản của người dùng khỏi những cuộc tấn công mạng có hại.
Ngoài việc báo cáo hàng năm, các công ty cũng sẽ phải cung cấp thông tin vi phạm an ninh mạng nào quan trọng trong vòng bốn ngày làm việc. Chỉ trong những trường hợp đặc biệt mới có thể được kéo đến 60 ngày.
Dù vậy, để xác định xem vi phạm an ninh mạng nào được xem là “quan trọng” vẫn còn mơ hồ và chưa được định rõ. Điều này có thể khiến cho các công ty gặp khó khăn trong việc đánh giá đối với những sự cố nhỏ hoặc không đáng kể có nên báo cáo hay không.
Một yếu tố quan trọng khác mà SEC quan tâm là việc quản lý rủi ro an ninh mạng bởi ban lãnh đạo của công ty. Các công ty sẽ phải mô tả cách giám sát rủi ro an ninh mạng và cụ thể hóa vai trò và chuyên môn của bộ phận quản lý.
Chủ tịch SEC Gary Gensler cho biết trong một tuyên bố: “Cho dù nhà máy của công ty bị thiêu rụi trong một vụ hỏa hoạn – hay hàng triệu tệp tin bị đánh cắp trong một sự cố an ninh mạng – thì điều đó có thể quan trọng đối với các nhà đầu tư.”
Yêu cầu mới dự kiến sẽ có hiệu lực sau 30 đến 180 ngày kể từ khi được công bố trong “Federal Register”, sổ đăng ký liên bang của Hoa Kỳ.
Một trong những ủy viên bất đồng chính kiến của Đảng Cộng hòa, Hester Peirce, đã phàn nàn rằng các yêu cầu mới vượt quá thẩm quyền của SEC và dường như được thiết kế để đáp ứng tốt hơn nhu cầu của tin tặc trong tương lai.