De SEC speelt hard met nieuwe cyberbeveiligingsregel

De SEC speelt hard met de nieuwe cyberbeveiligingsregel

Door Danny Bradbury • 10 augustus 2023

De Securities and Exchange Commission (SEC) heeft zojuist haar standpunt ten aanzien van beursgenoteerde bedrijven over cyberbeveiliging aangescherpt. Op 26 juli heeft zij haar Cyberbeveiligingsrisicobeheer, strategie, bestuur en openbaarmaking van incidenten regel. Oorspronkelijk voorgesteld vorig jaar, is het van toepassing op beursgenoteerde bedrijven, waarbij wordt voorgeschreven dat zij de SEC binnen vier dagen op de hoogte moeten stellen van een materiële inbreuk op de cyberbeveiliging.

Dit is de laatste stap in een langzame poging om de openbaarmaking van beveiligingsincidenten aan te moedigen, die in 2011 begon met begeleiding van het personeel van de SEC. Het zei dat verschillende verordeningen van de Commissie de openbaarmaking van cyberveiligheidsincidenten zouden kunnen afdwingen, ook al bestond er geen expliciete regel voor. In 2018 bracht de Commissie interpretatieve richtsnoeren uit, waarbij werd benadrukt dat bedrijven cyberveiligheidsincidenten openbaar konden maken. Deze onthullingen waren echter nog steeds fragmentarisch en werden op verschillende plaatsen gedaan met verschillende niveaus van detail.

De nieuwe regel heeft tot doel dit te veranderen door expliciet consistente vereisten voor de openbaarmaking van beveiligingsincidenten te dicteren. Het verplicht bedrijven om formulier 8-K in te vullen, een populair openbaarmakingsformulier dat vervolgens beschikbaar komt op de website van de Commissie.

De openbaarmaking omvat een korte beschrijving van het incident, de omvang ervan op het moment dat het werd ontdekt, of het nog steeds aan de gang is en het effect op de activiteiten. De regel schrijft ook voor dat bedrijven hun cyberbeveiligingsrisicobeoordelingsprocessen beschrijven en schetsen hoe het bestuur en het management toezicht houden op deze risico's.

Reactie

Niet iedereen was fan van de nieuwste regel. Melissa MacGregor, plaatsvervangend algemeen adviseur en bedrijfssecretaris bij de Securities Industry and Financial Markets Association (SIFMA), was bang dat de regel te snel te veel vroeg. De regel “verplicht openbaarmaking van aanzienlijk te veel, te gevoelige, zeer subjectieve informatie, op voortijdige tijdstippen, zonder de vereiste eerbied voor de prudentiële toezichthouders van overheidsbedrijven of relevante gespecialiseerde cyberbeveiligingsagentschappen”, zegt ze. zei in een verklaring aan de Washington Post.

Schrijven voor het Center for Cybersecurity Policy and Law, Harley Geiger, advocaat bij advocatenkantoor Venable LLP waarschuwde ook voor de korte openbaarmakingstermijn. “Als algemene kwestie van beste praktijken moeten aanhoudende cyberincidenten stil worden gehouden totdat ze onder controle zijn en de aanvalsvector is afgesloten, maar de regel van de SEC zal dit draaiboek veranderen”, zei hij.

De SEC had de regel enigszins getemperd en de reikwijdte van de openbaarmaking beperkt tot alleen de materiële details en omvang van het beveiligingsincident en eventuele materiële gevolgen voor het bedrijf. Het gaf de procureur-generaal ook de bevoegdheid om de openbaarmaking met 30 dagen uit te stellen.

“Geen van deze veranderingen neemt echter de zorgen weg dat publieke openbaarmaking van onbeheerde of niet-verzachte cyberincidenten het risico met zich meebrengt dat aanvallers worden gewaarschuwd voor niet-gepatchte kwetsbaarheden en verdere schade aanrichten”, aldus Geiger. “Het AG-uitstel zal waarschijnlijk alleen in uitzonderlijke gevallen worden uitgeoefend.”

Zelfs degenen in de veiligheidssector hadden hun bedenkingen. Tara Wisniewski, EVP voor belangenbehartiging, mondiale markten en ledenbetrokkenheid bij (ISC)2, de non-profitorganisatie die de CISSP-certificering regelt, was bezorgd dat de regel niet gedetailleerd genoeg was.

“Hoewel we de fundamentele principes van openbaarmaking ondersteunen om aandeelhouders, klanten en andere kiezers te informeren en te beschermen, is de uitspraak van de SEC zorgwekkend vaag”, aldus Wisniewski. verluidt zei. “Het roept meer vragen op dan antwoorden en kan voor cyberprofessionals onduidelijkheid creëren.”

Andere voorstellen

Industriegroepen maken zich ook zorgen over verschillende aspecten van de cyberbeveiligings- en risicobeheerregels van de SEC. In juni heeft de Securities Industry and Financial Markets Association (SIFMA) gefrustreerd over de verwarring tussen enkele andere regels die in de pijplijn van de SEC zitten.

Een of andere vorm van openbaarmaking loopt via deze andere voorgestelde regels. Men zou verleng Verordening SP, dat betrekking heeft op de privacy van klantgegevens voor makelaars-dealers, beleggingsmaatschappijen en geregistreerde adviseurs. De regel zou hen verplichten om binnen 30 dagen schriftelijke responsplannen voor cyberbeveiligingsincidenten aan te nemen, inclusief meldingen van inbreuken. Het breidt ook het toepassingsgebied van de verordening uit, door deze uit te breiden tot transferagenten en door de definitie van klantinformatie te verbreden tot gegevens die intern en van derden zijn verzameld.

Andere regels zijn gericht op het beheer van cyberbeveiligingsrisico's, waaronder: Regel 10, die van toepassing zou zijn op makelaars-dealers en deelnemers aan effectenswaps. Dit vereist dat zij de Commissie onmiddellijk op de hoogte stellen van eventuele inbreuken op de beveiliging, terwijl zij ook regelmatig de cyberveiligheidsrisico's beoordelen en documenteren en het publiek op hun websites op de hoogte stellen van zowel de risico's als de inbreuken. Ze zouden ook cyberbeveiligingscontroles moeten implementeren en documenteren en een incidentresponsplan moeten opstellen.

De SEC heeft een apart setje van voorgestelde regels voor risicobeheer voor adviseurs en fondsen, waarbij de bestaande regels voor het openbaar maken van risico's en het bijhouden van gegevens worden uitgebreid met cyberveiligheidsrisico's en -beleid. Ze zouden adviseurs en beleggingsfondsen dwingen om informatie over cyberveiligheidsrisico's op te nemen in het ADV-formulier, het formulier dat het meest gebruikt wordt voor andere zaken zoals financiële risico's en belangenconflicten. Gedocumenteerd cyberbeveiligingsbeleid zou ook verplicht worden.

“De Commissie heeft geen richtlijnen in een uitvoerbaar formaat gegeven met betrekking tot de aanzienlijke overlap tussen het SP-voorstel voor de Verordening en zowel het Regel 10-voorstel als de daarmee samenhangende voorstellen,” zei SIFMA, waarschuwend dat de SEC het SP-voorstel met de andere zou moeten harmoniseren.

Ten slotte zet de SEC de achtervolging in veranderingen aan de Regulation Systems Compliance and Integrity-regels uit 2014 van de SEC, die zij heeft uitgevaardigd om de veiligheid van handelssystemen te garanderen. De wijzigingen zouden de regelgeving uitbreiden tot makelaars-dealers, bewaarplaatsen die gegevens over effectenswaps bewaren en meer clearinginstellingen. Het zou ook meer eisen stellen, waaronder het toezicht op de veiligheid en bedrijfscontinuïteit van derde partijen, zoals aanbieders van clouddiensten, en het invoeren van systeemtoegangscontroles (die, verrassend genoeg, niet vereist waren onder de SCI).

Het document van de SEC over de cyberbeveiligingsregel die in juli werd aangenomen, bevatte concessies als reactie op enkele opmerkingen, samen met enkele solide reacties voor anderen. Of mensen nu wel of niet vinden dat de regel te ver ging, het feit dat de Commissie serieuze regelgeving opvoert om een groeiend cyberveiligheidsrisico op te helderen, is prijzenswaardig. De grootste vraag over de regel is eigenlijk waarom het zo lang heeft geduurd.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury