La SEC adopte de nouvelles règles en matière de divulgation des informations relatives à la cybersécurité

Le 26 juillet 2023, la Securities Exchange Commission (« SEC ») des États-Unis a adopté des règles définitives concernant la gestion des risques liés à la cybersécurité, la stratégie, la gouvernance et la déclaration des incidents par les sociétés cotées en bourse. Les règles définitives exigent des entités enregistrées qu'elles (1) déclarent dans une nouvelle rubrique 1.05 du formulaire 8-K tout incident de cybersécurité qu'elles jugent important, et (2) de divulguer dans leurs rapports annuels sur le formulaire 10-K leurs processus d'évaluation, d'identification et de gestion des risques importants liés aux menaces de cybersécurité, les impacts importants des menaces de cybersécurité et des incidents de cybersécurité antérieurs, ainsi que des informations spécifiques relatives au rôle du conseil d'administration et de la direction dans l'identification et la gestion des risques liés à la cybersécurité. La SEC a également adopté des règles exigeant des émetteurs privés étrangers qu'ils procèdent à des divulgations comparables.

Le président de la SEC, Gary Gensler, a déclaré qu'il s'attendait à ce que les nouvelles règles profitent à la fois aux entreprises et aux investisseurs, expliquant que, bien que de nombreuses entreprises divulguent déjà des informations relatives à la cybersécurité, les investisseurs et les entreprises « auraient tout à gagner à ce que ces informations soient divulguées de manière plus cohérente, comparable et utile à la prise de décision ».

Contexte

Avant l'adoption des règles définitives, ni le règlement S-K ni le règlement S-X n'exigeaient explicitement la divulgation d'informations sur la cybersécurité. Cependant, à mesure que les risques liés à la cybersécurité sont devenus plus fréquents, la SEC a commencé à prendre conscience du manque de directives dans ce domaine. En 2011, la Division of Corporation Finance de la SEC a publié des directives interprétatives donnant son avis sur les obligations des entités enregistrées en matière de divulgation d'informations sur la cybersécurité, suivies de directives interprétatives supplémentaires en 2018.

Le 9 mars 2022, la SEC a publié des règles proposées visant à officialiser les exigences en matière de divulgation. Les règles définitives sont largement similaires aux règles proposées, à quelques exceptions importantes près en ce qui concerne les divulgations relatives à la cybersécurité : (1) les règles définitives réduisent la quantité d'informations devant être divulguées dans le formulaire 8-K après que des commentateurs aient fait valoir que la divulgation de certains détails pourrait exacerber les menaces pour la sécurité ; (2) les règles définitives suppriment le projet d'article 106(d)(2) du règlement S-K, qui aurait obligé les entités enregistrées à divulguer dans leurs rapports périodiques les incidents de cybersécurité individuellement non significatifs mais qui, pris dans leur ensemble, devenaient significatifs ; et (3) les règles définitives suppriment le projet d'article 407(j) du règlement S-K, qui aurait exigé la divulgation des compétences des membres du conseil d'administration en matière de cybersécurité.

Déclaration des incidents liés à la cybersécurité sur le formulaire 8-K

• Les règles définitives modifient le formulaire 8-K afin d'ajouter la rubrique 1.05, qui exige des déclarants qu'ils divulguent les informations relatives à un incident de cybersécurité dans les quatre jours ouvrables suivant la date à laquelle ils ont déterminé qu'ils avaient subi un incident de cybersécurité important (et non la date à laquelle ils ont découvert l'incident).
  • Le point 1.05 exige des entités enregistrées qu'elles divulguent : (a) une description des aspects importants de la nature, de la portée et du moment de l'incident de cybersécurité ; et (b) l'impact important ou l'impact important raisonnablement probable sur l'entité enregistrée, y compris sa situation financière et ses résultats d'exploitation. Il s'agit d'une divulgation moins contraignante que celle envisagée dans les règles proposées, qui auraient également exigé des informations sur le moment où l'incident de cybersécurité a été découvert, s'il était en cours et si le déclarant avait déjà remédié ou était en train de remédier à l'incident de cybersécurité.  Les règles définitives comprennent également une instruction relative à la rubrique 1.05, qui précise qu'un déclarant n'est pas tenu de divulguer des informations spécifiques ou techniques sur la réponse qu'il prévoit d'apporter à l'incident de cybersécurité ou sur ses systèmes de cybersécurité, les réseaux et appareils connexes, ou les vulnérabilités potentielles du système, dans des détails qui pourraient entraver la réponse du déclarant ou la correction de l'incident.
  • Les règles définitives exigent qu'un déclarant détermine si un incident de cybersécurité est important « sans délai déraisonnable » après avoir découvert l'incident. Il s'agit d'une norme légèrement plus souple que la norme « dès que raisonnablement possible » prévue dans les règles proposées.
  • En vertu des règles définitives, on entend par « incident de cybersécurité » tout événement non autorisé, ou toute série d'événements non autorisés connexes, survenant sur les systèmes d'information d'un déclarant ou mené par l'intermédiaire de ceux-ci, qui compromet la confidentialité, l'intégrité ou la disponibilité des systèmes d'information du déclarant ou de toute information qui y réside.  Par conséquent, même si les règles définitives ne prévoient pas l'obligation de divulguer dans les rapports périodiques une série d'incidents de cybersécurité individuellement non significatifs qui, pris dans leur ensemble, deviennent significatifs, un déclarant sera tenu de déposer un formulaire 8-K s'il a été affecté de manière significative par une série d'événements liés à la cybersécurité, dont chacun peut être individuellement non significatif.
  • Les règles définitives comprennent une instruction relative à la rubrique 1.05 qui exige qu'un déclarant inclue dans le formulaire 8-K une déclaration identifiant toute information requise par la rubrique 1.05 qui n'est pas déterminée ou qui n'est pas disponible au moment du dépôt requis. Dans ce cas, le déclarant doit alors déposer un amendement au formulaire 8-K dans les quatre jours ouvrables suivant la détermination de ces informations par le déclarant, sans retard injustifié, ou dans les quatre jours ouvrables suivant la mise à disposition de ces informations.
  • Contrairement aux règles proposées, les règles définitives permettent à un déclarant de retarder le dépôt du formulaire 8-K dans deux circonstances limitées :
    • Si le procureur général des États-Unis estime que la divulgation présente un risque important pour la sécurité nationale ou la sécurité publique et en informe la SEC par écrit, la divulgation sur le formulaire 8-K peut être reportée pendant une période déterminée par le procureur général des États-Unis, pouvant aller jusqu'à 30 jours (prolongeable dans certains cas) à compter de la date à laquelle la divulgation aurait normalement dû avoir lieu. La SEC a indiqué dans le communiqué d'adoption des règles définitives qu'elle a mis en place une procédure permettant au ministère de la Justice d'informer également le déclarant concerné que la communication à la SEC a été effectuée, afin que le déclarant puisse retarder le dépôt de son formulaire 8-K.
    • Si un déclarant est soumis à la règle de la Commission fédérale des communications exigeant la notification des violations des informations réseau propriétaires des clients (« CPNI ») au Service secret des États-Unis (« USSS ») et au Bureau fédéral d'enquête (« FBI ») au plus tard sept jours ouvrables après la détermination raisonnable d'une violation des CPNI, la divulgation sur le formulaire 8-K peut être reportée jusqu'à sept jours ouvrables après la notification à l'USSS et au FBI, avec notification écrite à la SEC.
  • Les règles définitives prévoient que le dépôt tardif d'un formulaire 8-K en vertu de la rubrique 1.05 n'entraînerait pas la perte de l'admissibilité au formulaire S-3 ou au formulaire SF-3.
  • Le point 1.05 du formulaire 8-K exige un balisage XBRL en ligne, y compris un balisage détaillé des informations narratives.

Divulgation des informations relatives à la gestion des risques, à la stratégie et à la gouvernance en matière de cybersécurité dans les rapports annuels

• Les règles définitives modifient le formulaire 10-K afin d'ajouter un nouvel élément 1C et d'ajouter l'élément 106 du règlement S-K, qui exigent la divulgation des informations suivantes :
  • Les processus mis en place par le déclarant, le cas échéant, pour évaluer, identifier et gérer les risques importants liés aux menaces de cybersécurité, avec suffisamment de détails pour permettre à un investisseur raisonnable de comprendre ces processus. Il s'agit d'une norme légèrement plus souple que les « politiques et procédures » dont la divulgation est requise dans les règles proposées. Comme indiqué dans le communiqué d'adoption des règles définitives, cette modification a été apportée pour répondre aux préoccupations selon lesquelles les règles proposées fourniraient trop de détails et créeraient ainsi des menaces pour la sécurité. Les règles définitives fournissent la liste non exhaustive suivante des éléments à divulguer :
    • Si et comment ces processus ont été intégrés dans le système ou les processus globaux de gestion des risques du déclarant ;
    • Si le déclarant fait appel à des évaluateurs, des consultants, des auditeurs ou d'autres tiers dans le cadre de ces processus ; et
    • Le déclarant dispose-t-il de processus permettant de surveiller et d'identifier les risques liés aux menaces de cybersécurité associées à son utilisation de tout prestataire de services tiers ?
  • Si les risques liés aux menaces de cybersécurité, y compris ceux résultant d'incidents de cybersécurité antérieurs, ont eu ou sont raisonnablement susceptibles d'avoir une incidence significative sur le déclarant, notamment sur sa stratégie commerciale, ses résultats d'exploitation ou sa situation financière, et, dans l'affirmative, de quelle manière.
  • La surveillance par le conseil d'administration des risques liés aux menaces de cybersécurité et, le cas échéant, l'identité de tout comité ou sous-comité du conseil chargé de cette surveillance et les processus par lesquels le conseil ou ce comité est informé de ces risques. Il s'agit d'une divulgation plus restreinte que celle qui aurait été requise en vertu des règles proposées, qui auraient exigé davantage d'informations sur la manière dont la cybersécurité était liée à la stratégie commerciale du déclarant, ainsi que des informations supplémentaires sur la fréquence des discussions relatives à la cybersécurité lors des réunions du conseil d'administration.
  • D'une manière également moins détaillée que ce qui était envisagé dans les règles proposées (qui auraient exigé des informations sur la fréquence des discussions de la direction sur la cybersécurité), le rôle de la direction dans l'évaluation et la gestion des risques importants liés aux menaces de cybersécurité pour l'entité enregistrée. Les règles finales fournissent la liste non exhaustive suivante des éléments à divulguer :
    • Si des postes de direction ou des comités sont chargés d'évaluer et de gérer ces risques, et lesquels ; et les compétences pertinentes de ces personnes ou membres, avec suffisamment de détails pour décrire pleinement la nature de ces compétences ;
    • Les processus par lesquels ces personnes ou comités sont informés et surveillent la prévention, la détection, l'atténuation et la correction des incidents de cybersécurité ; et
    • Si ces personnes ou comités communiquent des informations sur ces risques au conseil d'administration ou à un comité ou sous-comité du conseil d'administration.
  • L'article 106 du règlement S-K exige un balisage XBRL en ligne, y compris un balisage détaillé des informations narratives.

Émetteurs privés étrangers

• Les règles définitives modifient le formulaire 6-K afin d'ajouter les « incidents de cybersécurité » comme sujet de déclaration conformément à l'instruction générale B. En conséquence, les émetteurs privés étrangers seront tenus de divulguer les incidents de cybersécurité sur le formulaire 6-K s'ils divulguent ou sont tenus de divulguer ces incidents conformément à la législation de la juridiction dans laquelle ils sont constitués, auprès d'une bourse ou à leurs détenteurs de titres.
• Les règles définitives modifient le formulaire 20-F afin d'exiger des émetteurs privés étrangers qu'ils fournissent dans leurs rapports annuels, dans une nouvelle rubrique 16K, des informations sur la cybersécurité identiques à celles requises dans la rubrique 106 du règlement S-K pour les émetteurs nationaux.

Date d'entrée en vigueur des règles définitives

• En ce qui concerne la conformité aux exigences de divulgation des incidents de cybersécurité prévues dans le formulaire 8-K, rubrique 1.05, et le formulaire 6-K, tous les déclarants, à l'exception des petites sociétés cotées, doivent se conformer à ces exigences au plus tard 90 jours après la date de publication des nouvelles règles dans le Federal Register ou le 18 décembre 2023, la date la plus tardive étant retenue.
  • Les petites sociétés cotées disposeront d'un délai supplémentaire de 180 jours et devront se conformer à la rubrique 1.05 du formulaire 8-K au plus tard 270 jours après la date d'entrée en vigueur des règles ou le 15 juin 2024, la date la plus tardive étant retenue.
• En ce qui concerne la rubrique 106 du règlement S-K et les exigences correspondantes du formulaire 10-K, ainsi que les exigences comparables du formulaire 20-F, tous les déclarants doivent fournir ces informations à compter des rapports annuels pour les exercices clos à compter du 15 décembre 2023. Pour les sociétés dont l'exercice correspond à l'année civile, cela signifie que ces informations devront être fournies dans leur formulaire 10-K ou 20-F de 2023 déposé en 2024.
• Tous les déclarants doivent baliser les informations requises en vertu des règles définitives dans Inline XBRL à compter d'un an après la première mise en conformité avec l'obligation d'information correspondante.

Actions recommandées

En raison de la prévalence croissante de la technologie dans les entreprises de tous les secteurs, de l'augmentation des incidents de cybersécurité et des obligations supplémentaires d'information qui incombent aux sociétés inscrites en matière d'incidents de cybersécurité, nous prévoyons que la cybersécurité restera un domaine prioritaire pour les entreprises, les organismes de réglementation et les investisseurs. Compte tenu de cette priorité, nous recommandons aux sociétés inscrites et à leurs administrateurs et dirigeants d'envisager les mesures suivantes :

• Les entités enregistrées doivent évaluer leurs contrôles et procédures de divulgation des incidents cybernétiques afin de s'assurer que les informations sont transmises à la direction en temps opportun et que les décisions relatives à l'importance relative sont prises en tenant compte de l'exigence de quatre jours ouvrables pour déposer un formulaire 8-K, rubrique 1.05.
• Les entités enregistrées doivent examiner et tester leurs plans d'intervention en cas d'incident de cybersécurité afin de s'assurer que les incidents sont correctement signalés dans toute l'organisation. Ces plans doivent être régulièrement revus et testés dans le cadre d'exercices de simulation afin de garantir une réponse rapide et adéquate. Compte tenu des nouvelles exigences en matière de divulgation, il est important que les tests incluent la direction afin de garantir la capacité de l'organisation à respecter ses obligations accrues en matière de divulgation des incidents de cybersécurité. En outre, les entités enregistrées doivent désigner le personnel/l'équipe chargé(e) de déterminer si un incident de cybersécurité est important, ainsi que leurs processus décisionnels et de documentation spécifiques.
• Les conseils d'administration doivent néanmoins savoir quels administrateurs possèdent une expertise ou une expérience en matière de cybersécurité et quels comités ou sous-comités, le cas échéant, sont ou devraient être chargés de superviser les questions de cybersécurité, et modifier les documents de gouvernance en conséquence. En outre, bien que les règles définitives de la SEC n'exigent pas la divulgation de l'expertise individuelle des administrateurs en matière de cybersécurité, nous pensons que de nombreuses entreprises continueront à faire ou à ajouter cette divulgation dans le cadre des matrices de compétences des administrateurs.
• Les entités enregistrées doivent s'efforcer d'identifier, si cela n'est pas déjà clair dans les politiques et procédures actuelles de l'entreprise, qui est spécifiquement responsable de la surveillance des risques liés aux menaces de cybersécurité et comprendre comment ces processus seront désormais divulgués, comment les risques de cybersécurité sont identifiés et comment les incidents de cybersécurité sont détectés, atténués et corrigés. Les entités enregistrées seront soumises à une pression accrue pour développer des programmes complets de gestion de la cybersécurité basés sur les risques afin de surveiller l'évolution des risques pour leurs entreprises. Ces programmes devraient inclure, le cas échéant, la réalisation d'une cartographie des données et des systèmes, la détermination des cadres de cybersécurité applicables, la réalisation d'évaluations des risques et de tests de pénétration, la mise en œuvre de mesures de sécurité raisonnables, la mise en place de protections contractuelles (notamment pour garantir l'existence de processus permettant de surveiller et d'identifier les risques liés aux prestataires de services tiers), l'évaluation des options d'assurance cyber, la mise en œuvre de formations pour le personnel et la réalisation d'exercices de simulation, entre autres programmes en fonction du secteur d'activité du déclarant et des risques spécifiques en matière de cybersécurité.
• Les entités enregistrées doivent identifier et documenter les évaluateurs, consultants, auditeurs et autres tiers qui les assistent dans leurs programmes de cybersécurité, en particulier les tiers qui les aideront à répondre aux incidents, notamment les experts en informatique légale, en relations publiques, en négociation de rançons, en reprise après sinistre et les experts des cabinets d'avocats.