Gli obblighi di divulgazione sono doveri legali e regolamentari del Regno Unito che impongono alle società di identificare e proteggere le informazioni privilegiate, per poi divulgarle al mercato quando tali informazioni sono sensibili al prezzo e la pubblicazione è richiesta. In pratica, una società quotata deve decidere se un incidente informatico sia semplicemente operativo oppure se sia diventato un'informazione rilevante che gli investitori devono conoscere.
Questo è importante nella sicurezza informatica perché una violazione può creare due rischi contemporaneamente: l'impatto tecnico sui sistemi e il rischio legale di una divulgazione ritardata o impropria. Gli aggressori possono causare interruzioni, perdita di dati o accessi non autorizzati che incidono sugli utili, sui contratti o su guasti di controllo. I difensori riducono l'esposizione limitando l'accesso ai dettagli dell'incidente, coinvolgendo fin dall'inizio i team legali e di conformità, documentando le decisioni di divulgazione e coordinando sicurezza, comunicazione e dirigenza. Una buona risposta agli incidenti è quindi anche un processo di controllo della divulgazione, che aiuta a prevenire abusi di mercato, controversie con gli investitori e ulteriori responsabilità dopo l'attacco.