- De Amerikaanse Securities and Exchange Commission (SEC) heeft nieuwe regels ingevoerd die beursgenoteerde bedrijven verplichten om cyberaanvallen binnen vier werkdagen nadat is vastgesteld dat het om materiële incidenten gaat, bekend te maken.
- Door aandeelhouders als belangrijk beschouwd bij het nemen van investeringsbeslissingen, worden materiële gebeurtenissen als materieel beschouwd.
- Na cyberaanvallen zijn ook buitenlandse private emittenten verplicht om gelijkwaardige informatie te verstrekken.
- De openbaarmakingen moeten informatie bevatten over de cyberaanval, inclusief de aard, reikwijdte en chronologie, en moeten worden opgenomen in periodieke rapportaanvragen (met name op 8-K-formulieren).
- De nieuwe regels worden in december van kracht, maar kleinere bedrijven hebben nog eens 180 dagen voordat formulier 8-K-openbaarmakingen vereist zijn. Als onmiddellijke openbaarmaking substantiële risico’s voor de nationale veiligheid of openbare veiligheid met zich meebrengt, kan de tijdlijn voor openbaarmaking onder bepaalde voorwaarden worden verlengd.
De VS Beveiligingen en Uitwisselingen Commissie heeft nieuwe regelgeving aangenomen die voorschrijft dat beursgenoteerde bedrijven cyberaanvallen binnen vier werkdagen nadat is vastgesteld dat het om materiële incidenten gaat, openbaar moeten maken.
Volgens de Wall Street-waakhond zijn materiële gebeurtenissen gebeurtenissen die aandeelhouders van een beursgenoteerde onderneming als significant beschouwen.bij het nemen van een investeringsbeslissing.”
Bovendien heeft de SEC nieuwe regels aangenomen die buitenlandse particuliere emittenten verplichten om gelijkwaardige onthullingen te doen in de nasleep van cyberaanvallen.
Sleutelinformatie vereist bij openbaarmaking van cyberinbreuken, verduidelijkt SEC
“Of een bedrijf nu een faciliteit verliest bij een brand of miljoenen bestanden verliest bij een cyberaanval, het kan een aanzienlijke impact hebben op investeerders. SEC-voorzitter Gary Gensler verklaarde dat een meerderheid van de beursgenoteerde bedrijven investeerders informatie over cyberbeveiliging verstrekt.
“Ik geloof dat zowel bedrijven als investeerders baat zouden hebben bij een meer consistente, vergelijkbare en besluitvaardige openbaarmaking van deze informatie. Door ervoor te zorgen dat bedrijven materiële cyberbeveiligingsinformatie vrijgeven, zullen de regels van vandaag ten goede komen aan investeerders, bedrijven en de onderling verbonden markten.”
Beursgenoteerde bedrijven zijn nu verplicht om details over de cyberaanval (inclusief de aard, omvang en tijdlijn van het incident) op te nemen in periodieke rapportaanvragen, met name op 8-K-formulieren.
De nieuwe regels voor het melden van cyberbeveiligingsincidenten treden naar verwachting in december in werking, of 30 dagen na publicatie in het Federal Register.
Kleinere bedrijven krijgen echter nog eens 180 dagen voordat formulier 8-K-openbaarmakingen vereist zijn. Als de Amerikaanse procureur-generaal vaststelt dat onmiddellijke openbaarmaking een aanzienlijk risico zou vormen voor de nationale veiligheid of openbare veiligheid, kan de tijdlijn voor openbaarmaking in bepaalde omstandigheden worden verlengd.
Tijdige openbaarmakingen om de transparantie te vergroten
De SEC maakte de intenties bekend om deze nieuwe regels in maart 2022 aan te nemen, meer dan een jaar geleden, in maart 2021. De nieuwe regels (PDF) beleggers onmiddellijk op de hoogte stellen van beveiligingsincidenten die beursgenoteerde bedrijven treffen, waardoor hun begrip van cyberbeveiligingsrisicobeheer en -strategie wordt vergroot.
Ze vereisen de openbaarmaking van de volgende inbreukgerelateerde informatie (indien beschikbaar op het moment van de indiening van formulier 8-K):
- De datum waarop het incident is ontdekt en de huidige status (lopend of opgelost).
- Een beknopte omschrijving van de aard en omvang van het incident.
- Alle informatie die zonder toestemming is gecompromitteerd, gewijzigd, geopend of gebruikt.
- De effecten van het incident op de activiteiten van het bedrijf.
- Informatie over lopende of voltooide herstelinitiatieven van het bedrijf.
Van getroffen bedrijven wordt echter niet verwacht dat ze de technische details van hun incidentresponsplannen of informatie over mogelijke kwetsbaarheden bekendmaken die van invloed kunnen zijn op hun reactie- en herstelacties. Volgens Lesley Ritter, Senior Vice President van Moody’s Investors Service, zullen de nieuwe regels de transparantie vergroten, maar zullen ze waarschijnlijk moeilijk zijn voor kleinere bedrijven.
“De openbaarmakingsregels voor cyberbeveiliging die eerder vandaag door de Amerikaanse Securities and Exchange Commission zijn aangenomen, zullen meer transparantie bieden in een verder ondoorzichtig maar groeiend risico, evenals meer consistentie en voorspelbaarheid”, vertelde Ritter aan BleepingComputer.
“Meer openbaarmaking zou bedrijven moeten helpen praktijken te vergelijken en kan verbeteringen in de cyberverdediging stimuleren, maar kleinere bedrijven met minder middelen kunnen het moeilijker vinden om aan de nieuwe openbaarmakingsnormen te voldoen.”
Uitgelicht beeldtegoed: Unsplash.
Source: SEC stelt tijdige onthullingen over cyberaanvallen verplicht voor beursgenoteerde bedrijven
