1. 소개
미국 SEC의 기업재무부서 디렉터인 에릭 게르딩(Erik Gerding)은 최근 Form 8-K의 Item 1.05와 관련된 두 가지 지침 성명을 발표했습니다. 이 항목은 지난해 SEC에 의해 채택되었으며, 공기업이 중대한 사이버 보안 사건을 공개하도록 요구했습니다. 5월에 발표된 그의 첫번째 성명은 Form 8-K에서 사이버 보안 사건의 자발적인 공개에 초점을 맞추었고, 6월에 발표된 두번째 성명은 사이버 보안 사건과 관련된 추가 정보를 비공개로 공유하는 것과 관련된 Regulation FD 고려사항을 다루었습니다.
2. 주요 내용
2024년 5월에 발표된 첫번째 성명
회사가 중대한 것으로 결정한 사이버 보안 사건만 Form 8-K의 항목 1.05에 따라 공개 할 수 있습니다. 또한 투자자의 혼란이나 항목 1.05 공개 가치가 희석 되는 것을 피하기 위해, 회사는 중대하지 않은 사이버 보안 사건이나 중대한지 여부를 아직 결정하지 못한 사이버 보안 사건을 공개하고자 할 경우 Form 8-K의 항목 8.01에 따라 공개할 수 있습니다.
그러나 해당 사건이 나중에 중대한 것으로 결정되면 회사는 해당 결정일로부터 4영업일 이내에 항목 1.05 Form 8-K를 제출해야 합니다. 새로운 제출은 이전의 항목 8.01 공개를 참조할 수 있지만, 항목 1.05의 모든 요구 사항을 충족해야 합니다.
SEC는 본 성명은 아직 중요성 여부를 결정하지 않은 사이버 보안 사건이나 회사가 중요하지 않다고 판단한 사건을 자발적으로 공개하는 것을 회사가 주저하지 않도록 하기 위한 것이 아니라고 말하였습니다.
아울러 이러한 자발적 공개가 투자자, 시장, 그리고 궁극적으로 회사에 가치를 제공한다는 점을 인식하고 있으며, 본 성명은 회사가 이러한 공개를 하지 않도록 하기 위한 것이 아니고 오히려, 본 성명은 투자자의 혼란을 초래하지 않거나 중요한 사이버 보안 사건에 대한 항목 1.05 공시의 가치를 희석하지 않는 방식으로 이러한 자발적 공개를 권장하기 위한 것이라고 설명했습니다.
2024년 6월에 발표된 두번째 성명
Form 8-K의 항목 1.05는 회사가 중요한 사이버 보안 사건에 대한 정보를 항목 1.05 Form 8-K에서 공개하는 것 외에도 다른 당사자(공급업체, 고객, 유사한 위험에 처한 회사 등)와 비공개로 논의하거나 공유하는 것을 금지하지 않으며, 이는 수정, 완화 또는 위험 회피 노력이나 해당 당사자들의 규제 준수를 촉진할 수 있습니다. Form 8-K의 항목 1.05는 회사가 중대한 것으로 판단한 사이버 보안 사건이 발생했을 때, 사건의 성격, 범위 및 시기의 중요한 측면과 사건이 회사에 미치는 중대한 영향 또는 합리적으로 예상되는 중대한 영향을 회사의 재무 상태와 운영 결과를 포함하여 설명할 것을 요구합니다. 항목 1.05는 회사가 중대한 사이버 보안 사건을 다른 당사자와 비공개로 논의하거나, 항목 1.05 Form 8-K에 포함된 내용 이상의 정보를 해당 당사자에게 제공하는 것을 금지하지 않습니다.
항목 1.05는 사이버 보안 커뮤니케이션에 대한 SEC의 공정공시규정(Regulation FD)의 적용을 변경하지 않으며, Regulation FD는 증권 시장 전문가 또는 주주에게 선택적으로 공개된 중요한 비공개 정보를 공개하도록 요구하지만, 그러한 비공개 공개로 Regulation FD가 적용되는지는 공개된 정보와 이를 공개 받은 사람에 따라 다릅니다. 법률 자문과 함께, 회사는 비공개 정보를 다루는 비밀 유지 계약을 체결하는 등의 방법으로 Regulation FD를 적용하지 않고 비공개로 이러한 정보를 공개할 수 있습니다.
SEC는 Regulation FD의 범위를 재차 강조하는 것이 중요하고 잘 알려져 있듯이, Regulation FD는 규정에서 명시한 바와 같이 증권 시장 전문가나 주주에게 선택적으로 공개된 중대한 비공개 정보를 공개하도록 요구한다고 말하였습니다. 아울러 공개된 정보와 그 정보를 제공받는 사람에 따라, 사이버 보안 사건에 대한 논의가 Regulation FD와 관련될 수 있다고 말하였습니다.
추가적으로 일부 회사는 중대한 사이버 보안 사건에 대한 정보를 비공개로 공유하는 것에 대해 일반적인 망설임을 가질 수 있지만, 앞서 논의한 바와 같이, 위원회의 규칙은 일반적으로 이러한 정보 공유를 금지하지 않고 Regulation FD의 선택적 공시 규칙은 20년 이상 전에 채택되었기 때문에 규칙의 범위와 요구 사항을 준수하면 중대한 사이버 보안 사건에 대한 정보의 상호 유익한 공유에 과도한 장애물이 되지 않을 것이라고 예상 하였습니다.
3. 시사점
기업들은 사이버 보안 사건의 중요성을 결정하거나 사건의 영향(또는 합리적으로 예상되는 영향)을 평가할 때 평판, 고객 또는 공급업체 관계, 경쟁력, 소송 가능성 또는 규제 조사 또는 조치와 같은 질적 요소를 포함한 모든 관련 요소를 고려해야 한다는 점을 명심해야 합니다.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.