Ven. Gen 17th, 2025

L’introduzione delle nuove regole di disclosure in materia di cybersecurity da parte della U.S. Securities and Exchange Commission (SEC) ha portato a un aumento significativo nel numero di incidenti di sicurezza informatica segnalati dalle aziende pubbliche. Secondo un’analisi condotta dallo studio legale statunitense Paul Hastings LLP, specializzato in finanza e fusioni e acquisizioni, dal 2023, anno in cui la normativa è entrata in vigore, si è registrato un incremento del 60% nelle segnalazioni di incidenti. Inoltre, il 78% delle disclosure è stato effettuato entro otto giorni dalla scoperta dell’incidente.

Queste nuove regole richiedono alle aziende pubbliche di comunicare gli incidenti di cybersecurity considerati “materiali” entro quattro giorni lavorativi dalla determinazione della loro materialità. L’obiettivo è garantire agli investitori informazioni tempestive e rilevanti che possano influenzare le decisioni di investimento. Tuttavia, nonostante l’aumento delle segnalazioni, meno del 10% delle disclosure include dettagli sugli impatti materiali degli incidenti. Questo evidenzia una certa riluttanza o difficoltà da parte delle aziende nel valutare rapidamente le conseguenze complessive degli eventi.

Secondo Michelle Reed, co-presidente della pratica di data privacy e cybersecurity presso Paul Hastings, questa esitazione è dovuta al fatto che le aziende si affrettano a rispettare le scadenze imposte dalla SEC per evitare penalità. Il prossimo anno sarà quindi cruciale per capire come il concetto di “materialità” si evolverà nel contesto della sicurezza informatica.

Analisi Tecnica e Implicazioni delle Nuove Regole

Le nuove regole della SEC rappresentano un cambiamento significativo nella gestione degli incidenti di cybersecurity da parte delle aziende pubbliche. La determinazione della “materialità” degli incidenti è un elemento centrale della normativa, ma anche una delle maggiori sfide. La materialità viene definita come una scala variabile che considera il rischio e la probabilità dell’impatto. Questo significa che lo stesso incidente può essere considerato materiale per una società e non per un’altra, a seconda delle dimensioni dell’azienda e dell’efficacia della sua risposta agli incidenti.

Un esempio emblematico riguarda l’attacco ransomware subito da CDK Global, un fornitore di software per il settore automobilistico, nel giugno 2023. Nonostante il pagamento di un riscatto di 25 milioni di dollari, la società madre Brookfield Business Partners ha dichiarato che l’incidente non avrebbe avuto un impatto materiale sulle sue attività. Al contrario, alcune concessionarie automobilistiche collegate hanno segnalato impatti negativi senza però definirli “materiali”. Questo caso mette in evidenza l’ambiguità nell’applicazione del concetto di materialità e la difficoltà nel bilanciare trasparenza e protezione dei dettagli operativi sensibili.

Un altro aspetto critico riguarda gli incidenti legati a terze parti, che rappresentano il 25% degli eventi segnalati. Le violazioni che coinvolgono fornitori o partner esterni pongono ulteriori dilemmi alle aziende: devono decidere se divulgare tali incidenti, soprattutto quando altre organizzazioni collegate potrebbero già averlo fatto. Questo crea potenziali sovrapposizioni o discrepanze nelle disclosure pubbliche.

Dal punto di vista tecnico, le aziende devono affrontare sfide significative per rispettare i requisiti normativi senza compromettere la sicurezza operativa. Le regole non obbligano a divulgare dettagli tecnici specifici che potrebbero ostacolare gli sforzi di mitigazione o aumentare la vulnerabilità agli attacchi futuri. Tuttavia, l’assenza di tali dettagli può limitare la capacità degli investitori di comprendere appieno i rischi associati agli incidenti.

In prospettiva futura, l’aumento delle disclosure potrebbe portare a una maggiore consapevolezza dei rischi informatici tra gli investitori e a una pressione crescente sulle aziende per migliorare le loro strategie di gestione del rischio cyber. Tuttavia, rimane fondamentale sviluppare linee guida più chiare sulla materialità e promuovere pratiche standardizzate per garantire coerenza e trasparenza.

In che modo le aziende riescono a bilanciare la necessità di comunicazioni tempestive con il rischio di rivelare informazioni sensibili ?

Le aziende stanno affrontando una sfida complessa nel bilanciare la necessità di divulgazioni tempestive sugli incidenti di cybersecurity con il rischio di esporre informazioni sensibili. Questo equilibrio è richiesto non solo per conformarsi alle normative, come quelle imposte dalla SEC negli Stati Uniti o dalla Direttiva NIS2 in Europa, ma anche per mantenere la fiducia degli investitori, dei clienti e degli stakeholder.

Da un lato, la trasparenza è fondamentale per garantire che gli investitori ricevano informazioni rilevanti e tempestive. Le normative, come quelle della SEC, richiedono che le aziende comunichino gli incidenti di sicurezza informatica considerati “materiali” entro pochi giorni dalla loro identificazione. Tuttavia, questa urgenza può mettere le aziende in una posizione difficile: devono fornire dettagli sufficienti per soddisfare i requisiti normativi senza rivelare informazioni che potrebbero compromettere la sicurezza operativa o esporle a ulteriori rischi.

Per gestire questa complessità, molte aziende adottano strategie che combinano tecnologie avanzate con processi ben definiti. Ad esempio, strumenti di gestione della postura di sicurezza dei dati (DSPM) offrono visibilità su dove si trovano i dati sensibili e chi vi ha accesso, facilitando una rapida valutazione dell’impatto di un incidente. Inoltre, l’uso di crittografia, autenticazione a più fattori e segmentazione delle reti consente di proteggere i dati anche in caso di attacchi.

Un altro aspetto cruciale è la formazione continua del personale. Le simulazioni di phishing e i workshop interattivi aiutano i dipendenti a riconoscere le minacce e a reagire in modo appropriato, riducendo così il rischio di errori umani che potrebbero aggravare gli incidenti. La creazione di una cultura aziendale orientata alla sicurezza informatica è essenziale per garantire che tutti i membri dell’organizzazione comprendano il loro ruolo nella protezione delle informazioni.

Dal punto di vista comunicativo, molte aziende scelgono un approccio graduale alla divulgazione. Iniziano con annunci generali che confermano l’incidente senza entrare nei dettagli tecnici, riservandosi ulteriori comunicazioni man mano che l’indagine interna progredisce. Questo approccio consente di rispettare le scadenze normative senza compromettere la sicurezza.

Infine, le aziende devono affrontare anche sfide legate alla gestione degli incidenti che coinvolgono terze parti. La crescente interconnessione tra organizzazioni rende difficile determinare chi debba comunicare l’incidente e quali dettagli includere. Normative come la NIS2 richiedono alle aziende di considerare non solo la propria sicurezza interna ma anche quella dei partner e fornitori, promuovendo una visione integrata della cybersecurity.

In sintesi, il bilanciamento tra divulgazione tempestiva e protezione delle informazioni sensibili richiede un mix di tecnologie avanzate, processi robusti e una cultura aziendale focalizzata sulla sicurezza. Le aziende che riescono a gestire efficacemente questo equilibrio non solo riducono il rischio operativo ma rafforzano anche la loro reputazione e competitività sul mercato globale.

Quali sono le Best Pratices per garantire comunicazioni sicure e tempestive ?

Per garantire divulgazioni sicure e tempestive, le aziende devono adottare una serie di pratiche che bilancino la trasparenza con la protezione delle informazioni sensibili. Le nuove regole della SEC richiedono che le aziende segnalino gli incidenti di cybersecurity considerati “materiali” entro quattro giorni lavorativi dalla determinazione della loro materialità. Tuttavia, il rispetto di queste scadenze può essere complesso senza un approccio strutturato. Ecco le migliori pratiche che le aziende possono implementare per soddisfare tali requisiti:

  1. Leadership e responsabilità chiare: È fondamentale designare figure specifiche, come il Chief Information Security Officer (CISO) o un comitato dedicato, responsabili della supervisione della gestione dei rischi informatici e delle divulgazioni. Questi leader devono collaborare strettamente con il Chief Financial Officer (CFO) e altri dirigenti per determinare la materialità degli incidenti e garantire che le divulgazioni siano accurate e tempestive[1][9].
  2. Documentazione e processi standardizzati: Le aziende devono sviluppare processi ben documentati per valutare la materialità degli incidenti. Questo include criteri chiari per determinare l’impatto qualitativo e quantitativo di un incidente, come danni reputazionali o esposizione a contenziosi legali. Creare modelli standard per le divulgazioni può aiutare a velocizzare il processo in caso di incidente[6][9].
  3. Collaborazione tra team: La conformità richiede un coordinamento efficace tra diversi dipartimenti, inclusi sicurezza informatica, finanza, legale e gestione del rischio. La comunicazione interna deve essere fluida per garantire che le decisioni sulla materialità siano prese rapidamente e che tutte le informazioni rilevanti siano raccolte in modo efficiente[6][9].
  4. Tecnologie avanzate e strumenti di valutazione del rischio: L’uso di strumenti tecnologici come piattaforme di gestione del rischio informatico (Cyber Risk Management Platforms) può migliorare la visibilità sui rischi e facilitare la valutazione dell’impatto degli incidenti. Questi strumenti aiutano a identificare asset critici, monitorare la superficie d’attacco esterna e prevenire perdite di dati[1][5].
  5. Formazione continua e simulazioni: Investire nella formazione dei dipendenti su come riconoscere e rispondere agli incidenti di sicurezza è essenziale. Simulazioni regolari di incidenti possono preparare il personale a gestire situazioni reali in modo efficace, riducendo i tempi di risposta[5][8].
  6. Trasparenza senza compromessi operativi: Le aziende devono trovare un equilibrio tra fornire informazioni utili agli investitori e proteggere dettagli sensibili che potrebbero essere sfruttati da attori malevoli. Ad esempio, le divulgazioni possono includere una descrizione generale dell’incidente senza rivelare dettagli tecnici specifici che potrebbero compromettere ulteriormente la sicurezza[6][9].
  7. Supervisione del consiglio di amministrazione: Il consiglio deve essere attivamente coinvolto nella supervisione della gestione dei rischi informatici, con membri dotati di competenze specifiche in cybersecurity. Questo non solo migliora la governance, ma aumenta anche la fiducia degli investitori nella capacità dell’azienda di gestire i rischi cyber[3][4].
  8. Revisione periodica delle politiche: Le politiche aziendali in materia di cybersecurity devono essere aggiornate regolarmente per riflettere i cambiamenti normativi e le nuove minacce informatiche. Ciò include l’integrazione delle regole SEC nelle procedure operative standard[5][8].

Queste pratiche non solo aiutano a rispettare i requisiti normativi ma rafforzano anche la resilienza complessiva delle aziende contro i rischi informatici, migliorando al contempo la trasparenza verso gli investitori e gli stakeholder.

—–
[1] https://www.zscaler.com/zpedia/new-sec-cybersecurity-disclosure-rules
[2] https://www.orrick.com/en/Insights/2023/07/SEC-Cybersecurity-Disclosure-Rules-Top-Takeaways-and-Action-Items-for-Public-Companies
[3] https://www.ey.com/en_us/board-matters/cyber-disclosure-trends
[4] https://www.directorsandboards.com/board-issues/cyber-risk/cybersecurity-oversight-disclosures-in-2024/
[5] https://guidehouse.com/insights/advanced-solutions/2024/5-steps-to-prepare-for-the-new-sec-cybersecurity-rule
[6] https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/sec-final-cybersecurity-disclosure-rules.html
[7] https://news.sophos.com/en-us/2024/09/05/the-secs-2023-final-rules-on-cybersecurity-disclosures/
[8] https://www.scrut.io/post/sec-new-guidelines-cybersecurity-management-incident-disclosure
[9] https://www.mgocpa.com/perspective/cfos-and-cisos-boost-your-sec-cybersecurity-compliance-with-these-5-best-practices/
[10] https://www.auditboard.com/blog/81-percent-of-security-leaders-say-sec-cybersecurity-rules-will-substantially-impact-their-business/


Questo articolo scritto da Raffaele DI MARZIO (https://www.linkedin.com/in/raffaeledimarzio/), può essere utilizzato per le analisi AI del podcast prodotto da Cyberium Media Miami per la piattaforma Apple Podcast, e distribuito anche su YouTube, YouTube Music, Amazon Music, Audible, Spotify, iHeartRadio, e Deezer. Il Podcast è una analisi indipendente e trasparente del mondo della cybersecurity, del cyberlegal e delle compliance, ed esplora le riflessioni e contenuti dell’autore attraverso analisi e tecniche di intelligenza artificiale, basate su da Gemini Pro. Tutti i podcast sono disponibili qui: https://technocratico.it/cyberium-podcast/