Openbaarmakingen op het gebied van cyberbeveiliging zouden worden versterkt onder nieuwe SEC-voorstellen

Openbaarmakingen van cyberbeveiligingsmaatregelen en hacks van openbare bedrijven zouden worden versterkt als de nieuwe regels die vandaag door de Securities and Exchange Commission zijn voorgesteld, worden goedgekeurd.

SEC-voorzitter Gary Gensler zei dat de voorstellen, indien aangenomen, investeerders beter in staat zullen stellen om cyberbeveiligingsincidenten te evalueren en voorzorgsmaatregelen te rapporteren door de bedrijven waarvan ze eigenaar zijn door consistente, vergelijkbare, betrouwbare en besluitvormingsinformatie beschikbaar te stellen.

Hij zei dat cyberdreigingen aanzienlijke financiële, juridische, operationele en reputatierisico's voor bedrijven vormen.

SEC Chief Economist en directeur van de afdeling Economische en Risicoanalyse Jessica Wachter zei dat de voorstellen de zoekkosten voor investeerders zouden verlagen en het gemakkelijker zouden maken om cyberbeveiligingsvergelijkingen tussen bedrijven te vergelijken.

Volgens de voorstellen zou een bedrijf een materieel cyberbeveiligingsincident binnen vier dagen nadat het bedrijf had vastgesteld dat het had plaatsgevonden, moeten bekendmaken. Het bedrijf zou ook verplicht zijn om periodiek aanvullende informatie over het incident bekend te maken.

Bovendien zou een bedrijf de rol van het management en de raad van bestuur en het toezicht op cyberbeveiligingsrisico's moeten onthullen; of het cyberbeveiligingsbeleid en -procedures heeft; en hoe cyberbeveiligingsrisico's en -incidenten waarschijnlijk de financiën van het bedrijf zullen beïnvloeden; en of bestuursleden over cybersecurity-expertise beschikken.

Democratisch commissaris Caroline Crenshaw zei dat de nieuwe regels van vitaal belang zijn geworden, aangezien CEO's cyberincidenten hebben geïdentificeerd als de grootste bedreiging voor de groei van bedrijven in de komende jaren.

Ze beweerde momenteel dat het "wie, wat, wanneer en waar van onthullingen" onbetrouwbaar is.

Het enige Republikeinse lid van de Commissie, Hester Peirce, verzette zich tegen het voorstel en flirt met het aanwijzen van de SEC als een commandocentrum voor cyberbeveiliging.

"Wij zijn niet de toezichthouders met de nodige expertise", zei Peirce.

Ze maakte ook bezwaar dat de voorstellen zouden leiden tot een ongekend micromanagement van besturen door de SEC door bedrijven te verplichten de cyberbeveiligingskennis van bestuursleden openbaar te maken.