De Amerikaanse Securities and Exchange Commission (SEC) heeft nieuwe regels voor cyberbeveiligingsrisicobeheer voorgesteld voor bedrijven die van hen zouden eisen dat ze transparanter zijn met openbaarmakingen van klanten.
De nieuwe regels zouden worden geïmplementeerd als wijzigingen in verschillende vormen met betrekking tot openbaarmaking van cyberbeveiliging en zouden specifiek gericht zijn op investeringsadviseurs, investeringsfondsen en bedrijven voor bedrijfsontwikkeling.
Hacks voor cyberbeveiliging niet meer verbergen
Het invoeren van strengere regelgeving met betrekking tot openbaarmaking van cyberbeveiliging is geen nieuwe inspanning van de SEC. In 2018 zei voormalig SEC-commissaris Robert J. Jackson Jr. dat de huidige openbaarmakingsvereisten "een fout maakten in de richting van geheimhouding" en investeerders vaak in het ongewisse lieten wanneer bedrijven hacks of andere cyberbeveiligingsaanvallen ondervonden.
Momenteel is het bedrijfsmanagement alleen verplicht om boards op de hoogte te houden van cyberbeveiligingskwesties, zonder de verplichting om deze te delen met investeerders of andere klanten. Uit een gezamenlijk rapport uit 2021 bleek echter dat in 2020 slechts 17% van de ondervraagde Fortune 100-bedrijven jaarlijks of driemaandelijks cyberbeveiligingsproblemen rapporteerde aan bestuursleden.
De SEC lijkt hier graag verandering in te brengen, aangezien het het grootste deel van 2022 heeft besteed aan het introduceren van verschillende voorstellen die - als ze worden aangenomen - openbare bedrijven zouden verplichten om te rapporteren over cyberaanvallen en -incidenten.
Dit is het geval bij de Cyberbeveiligingsrisicobeheer voor investeringsadviseurs, geregistreerde investeringsmaatschappijen en bedrijven voor bedrijfsontwikkeling voorstel, gepubliceerd op 9 februari.
In het document stelt de SEC voor om nieuwe regels in te voeren onder de Investment Advisers Act van 1940 en de Investment Company Act van 1940 om fondsen en adviseurs te verplichten om nieuw cyberbeveiligingsbeleid te implementeren. Volgens het document zijn deze beleidslijnen en procedures specifiek ontworpen om cyberbeveiligingsrisico's aan te pakken door bedrijven te verplichten om significante cyberbeveiligingsincidenten die de adviseur, zijn fonds of particuliere fondscliënten aantasten aan de SEC te melden.
"Wij zijn van mening dat het verplichten van adviseurs en fondsen om het optreden van significante cyberbeveiligingsincidenten te melden, de efficiëntie en effectiviteit zou versterken van onze inspanningen om investeerders, andere marktdeelnemers en de financiële markten te beschermen in verband met cyberbeveiligingsincidenten", aldus de SEC in het voorstel.
Jamil Farshchi, hoofd informatiebeveiliging bij Equifax, vertelde Bloomberg News dat de voorgestelde regels de broodnodige transparantie zouden brengen aan het leiderschap van bedrijven en een ongekende aansprakelijkheid zouden vereisen als het gaat om cyberbeveiliging.
Meer regels zijn gelijk aan een sterkere SEC
Velen geloven dat het recente streven van de SEC om een actievere rol te spelen bij het versterken van de regels met betrekking tot cyberbeveiliging een direct gevolg is van de SolarWinds-hack. De beruchte gebeurtenis wordt algemeen beschouwd als een van de ergste cyberspionage-incidenten die de VS hebben ondergaan, aangezien het land zag dat veel delen van zijn federale overheid het doelwit waren van een groep door Rusland gesteunde hackers.
De aanvallers besmetten updates van een Amerikaanse federale aannemer en gebruikten die als een springplank om verschillende overheidsinstanties en bedrijven binnen te dringen. Na de hack stuurde de SEC brieven naar bedrijven waarvan zij dacht dat ze risico liepen door de hacks, waarin ze werden gevraagd om zelf te melden of ze waren gehackt en welke schade de hacks hadden aangericht.
Omdat de Commissie een overweldigend aantal onthullingen ontving, startte ze het Amnesty-programma, waarbij vergiffenis werd geboden aan bedrijven die uiteindelijk aan het zelfrapportageverzoek voldeden, zelfs als ze het incident niet eerder aan investeerders hadden bekendgemaakt.
Destijds noemden de National Association of Corporate Directors, de Cyber Threat Alliance en SecurityScorecard het programma allemaal "opmerkelijk", omdat het de veranderende kijk van de SEC op cyberrisico's signaleerde. Sachin Bansal, chief business en legal officer van SecurityScorecard, noemde het een "keerpunt" voor de SEC.
Maar ondanks dit laat het nieuwe voorstel van de SEC veel stenen ongemoeid.
De nieuwe regels zullen bedrijven verplichten om “materiële” of “belangrijke” cyberincidenten openbaar te maken, indien geïmplementeerd. De SEC beschouwt "materiële" informatie als alle informatie met een "aanzienlijke kans dat een redelijke aandeelhouder deze belangrijk zou vinden".
Velen vinden de definities van de SEC te vaag om enige betekenisvolle transparantie op de markt te brengen. De vaagheid betekent ook dat de regels van geval tot geval door de SEC zouden worden geïnterpreteerd, waardoor bedrijven ruimte zouden hebben om in beroep te gaan tegen uitspraken en precedenten te scheppen die het voorstel in wezen waardeloos zouden kunnen maken.
Er is echter nog ruimte voor verbetering. De SEC zal pas over een paar weken over het voorstel stemmen, waardoor er voldoende ruimte overblijft voor deelnemers uit de industrie om hun zorgen en suggesties met de Commissie te delen.
Het is onduidelijk hoe dit de crypto-industrie beïnvloedt - met steeds meer investeringsfondsen, waaronder verschillende digitale activa en crypto-derivaten in hun portefeuilles. De voorgestelde regels kunnen er echter toe leiden dat veel onthullingen uit de crypto-ruimte komen.
Bron: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/