Le 15 mars 2023, la Securities and Exchange Commission (« SEC ») a proposé trois règles liées à la cybersécurité et à la protection des informations des consommateurs.
La première proposition de la SEC modifierait le règlement SP. La réglementation SP impose des règles de confidentialité, de sécurité des données et d’élimination des données aux courtiers, conseillers en investissement et sociétés d’investissement soumis à l’autorité de la SEC en vertu de la loi Gramm-Leach-Bliley. Entre autres exigences, les modifications proposées par la SEC (1) obligeraient les institutions visées à adopter un programme écrit de réponse aux incidents, y compris des procédures pour évaluer la nature et l’étendue d’un incident impliquant un accès ou une utilisation non autorisés des informations sur les clients, ainsi que des procédures pour contenir et contrôler un tel incident, (2) incorporer une obligation d’informer les personnes concernées d’une violation de données, et (3) exiger des institutions couvertes qu’elles conservent des enregistrements écrits documentant leur conformité aux règles de la réglementation SP.
La SEC a également proposé la règle 10, qui obligerait certaines entités qui fournissent des services critiques à soutenir le marché américain des valeurs mobilières – à savoir, les courtiers, le Municipal Securities Rulemaking Board, les chambres de compensation, les principaux participants aux swaps sur titres, les associations nationales de valeurs mobilières, les les bourses de valeurs mobilières, les référentiels de données d’échange fondés sur la sécurité, les courtiers d’échange fondés sur la sécurité et les agents de transfert (collectivement, les entités de marché ») – pour, entre autres exigences, maintenir et mettre à jour régulièrement les politiques et procédures écrites qui traitent des risques de cybersécurité et incluent certains contenus prescrits , informer immédiatement la SEC par écrit des incidents de cybersécurité importants et divulguer publiquement des descriptions sommaires des risques et des incidents de cybersécurité.
Enfin, la SEC a proposé des modifications à la conformité et à l’intégrité des systèmes de réglementation (« SCI »), qui a été adoptée en 2014 et s’applique à (1) certaines entités (« Entités SCI ») et leurs systèmes automatisés et similaires (« SCI Systems ») qui prennent directement en charge une ou plusieurs des six fonctions clés du marché des valeurs mobilières (négociation, compensation et règlement, acheminement des ordres, données de marché, réglementation du marché ou surveillance du marché) et (2) des systèmes qui, en cas de violation, seraient raisonnablement susceptibles de constituer une sécurité menace pour les systèmes SCI (« Systèmes SCI indirects »). Les modifications proposées élargiraient le champ des entités couvertes par le règlement SCI (afin d’inclure les référentiels de données d’échange sur titres enregistrés ; les courtiers enregistrés auprès de la SEC en vertu de l’article 15 (b) qui dépassent certains seuils d’actifs ou d’activité de transaction ; et tous les centres de compensation agences exemptées d’enregistrement) et développerait les exigences du règlement, notamment en spécifiant les exigences de contenu pour les politiques et procédures de sécurité mandatées en vertu de la règle, en exigeant un avis à la SEC de certaines « intrusions dans les systèmes » sans délai, en mettant à jour l’examen annuel de conformité SCI requis en vertu la Règle et obligeant les entités SCI à inclure les principaux fournisseurs tiers dans leurs tests BC/DR requis.
Les périodes de commentaires publics pour les propositions resteront ouvertes pendant 60 jours après leur publication au Federal Register. En outre, la SEC a rouvert la période de commentaires pour une proposition de 2022 qui obligerait les conseillers en investissement et les fonds à adopter des politiques de cybersécurité écrites, à signaler les incidents de cybersécurité importants à la SEC et à divulguer publiquement les risques de cybersécurité et les incidents de cybersécurité importants au cours des deux dernières années. années fiscales dans leurs brochures et déclarations d’inscription.