La reforma está influida en parte por el episodio de las "acciones meme" de 2021, cuando las autoridades descubrieron que los asesores robóticos y los agentes de bolsa utilizaban IA y funciones similares a las de los juegos para impulsar las operaciones.
La nueva norma exigirá a las empresas revelar las violaciones cibernética en un plazo de cuatro días después de determinar que es lo suficientemente grave como para ser material para los inversores. La norma permitirá retrasos si el Departamento de Justicia los considera necesarios para proteger la seguridad nacional o pesquisas policiales, según la SEC.
Las empresas también tendrán que describir periódicamente los esfuerzos que están realizando para identificar y gestionar las amenazas en el ciberespacio. La norma, propuesta por primera vez en marzo de 2022, forma parte de un esfuerzo más amplio de la SEC para reforzar el sistema financiero contra el robo de datos, los fallos de los sistemas y las ciberintrusiones.
Los comisarios republicanos discreparon, alegando que la norma es innecesaria ante los requisitos ya existentes, supone una carga excesiva para las empresas y podría ofrecer a los piratas informáticos una hoja de ruta sobre las vulnerabilidades de sus objetivos y la cuantía del rescate a exigir.