SEC Proposes New Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

Op 9 maart 2022 heeft de Amerikaanse Securities Exchange Commission (de Commissie) voorgestelde wijzigingen aangekondigd in haar regels met betrekking tot cyberbeveiligingsrisicobeheer, strategie, governance en incidentrapportage door beursgenoteerde ondernemingen om de informatieverschaffing te verbeteren en te standaardiseren.

Voorzitter van de Commissie Gary Gensler benadrukte dat het voorstel "beleggers beter in staat zou stellen om de cyberbeveiligingspraktijken en incidentrapportage van beursgenoteerde ondernemingen te beoordelen". De voorgestelde wijzigingen zijn bedoeld om beleggers beter te informeren door openbaarmaking van informatie over het risicobeheer, de strategie en het bestuur van een registrant met betrekking tot cyberbeveiliging verplicht te stellen en door tijdige melding van belangrijke cyberbeveiligingsincidenten te eisen. Bovendien versterken de voorgestelde wijzigingen het toegenomen belang van cyberbeveiliging, waarbij in het voorstel wordt erkend dat "de potentiële kosten en schade die kunnen voortvloeien uit een belangrijk cyberbeveiligingsincident aanzienlijk zijn".

Het voorstel staat momenteel open voor commentaar en we verwachten dat er veel belangstelling en commentaar zal komen van beleggers, bedrijven en adviseurs. Het hieronder samengevatte afwijkende standpunt van commissaris Hester Pierce geeft een voorproefje van enkele van de argumenten die waarschijnlijk tegen de voorgestelde wijzigingen zullen worden aangevoerd, waaronder dat de verplichte incidentmelding contraproductief zou kunnen zijn voor de belangen van geregistreerden en hun belanghebbenden en dat de openbaarmakingsvereisten een achterdeur zijn om gewenste bestuursdoelstellingen op te leggen.

Achtergrond

Hoewel bepaalde federale en staatsvoorschriften en -wetten openbaarmaking van informatie over cyberbeveiliging kunnen vereisen, bevatten Regulation S-K en Regulation S-X momenteel geen openbaarmakingsvereisten die expliciet informatie over cyberbeveiliging vereisen. In 2011 heeft de Division of Corporation Finance echter interpretatieve richtlijnen uitgevaardigd met hun visie op de openbaarmakingsverplichtingen van registranten met betrekking tot cyberbeveiliging, en in 2018 hebben zij vervolginterpretatieve richtlijnen uitgevaardigd (2018 Interpretative Release). In de Interpretative Release van 2018 werd gesteld dat Regulation S-K en Regulation S-X openbaarmaking van informatie over cyberbeveiliging kunnen vereisen onder verschillende punten, zoals:

Risicofactoren (punt 105)
Bespreking en analyse door het management van de financiële toestand en bedrijfsresultaten (punt 303)
Beschrijving van de bedrijfsactiviteiten (punt 101)
Gerechtelijke procedures (punt 103)
Corporate Governance (punt 407)
Financiële informatie volgens Regulation S-X

In haar bespreking van de voorgestelde wijzigingen merkte de Commissie op dat ongeveer 94% van de indieners van Form 10-K informatie over cyberbeveiliging verstrekt in het gedeelte Risicofactoren, maar dat slechts 21% en 10% van de indieners dergelijke informatie verstrekte in respectievelijk de gedeelten Beschrijving van de activiteiten of Bespreking en analyse door het management.

Samenvatting

De voorgestelde wijzigingen zouden:

Incidentmelding op formulier 8-KWijzig Formulier 8-K door punt 1.05 toe te voegen, waarin registranten worden verplicht om informatie over een cyberbeveiligingsincident openbaar te maken binnen vier werkdagen nadat de registrant heeft vastgesteld dat er sprake is van een materieel cyberbeveiligingsincident (en niet op de datum waarop de registrant het incident ontdekt).
- Punt 1.05 vereist dat registranten het volgende openbaar maken: (a) wanneer het incident werd ontdekt en of het nog steeds aan de gang is; (b) een korte beschrijving van de aard en omvang van het incident; (c) of er gegevens zijn gestolen, gewijzigd, geraadpleegd of gebruikt voor andere ongeoorloofde doeleinden; (d) het effect van het incident op de activiteiten van de registrant; en (e) of de registrant het incident heeft verholpen of momenteel aan het verhelpen is.
- Voorbeelden van cyberbeveiligingsincidenten die, indien ze als materieel worden beschouwd, aanleiding zouden geven tot openbaarmakingen op grond van punt 1.05 zijn onder meer: (a) een ongeoorloofd incident dat de vertrouwelijkheid, integriteit of beschikbaarheid van een informatieactief in gevaar heeft gebracht; (b) een ongeoorloofd incident dat heeft geleid tot verslechtering, onderbreking, verlies van controle, beschadiging of verlies van operationele technologiesystemen; (c) een incident waarbij een onbevoegde partij toegang heeft gekregen tot gevoelige bedrijfsinformatie, persoonlijk identificeerbare informatie, intellectueel eigendom of informatie die kan leiden tot aansprakelijkheid voor de registrant, en deze heeft gewijzigd of gestolen; (d) een incident waarbij een kwaadwillende actor heeft aangeboden om gevoelige bedrijfsgegevens te verkopen of heeft gedreigd deze openbaar te maken; en (e) een incident waarbij een kwaadwillende actor betaling heeft geëist voor het herstellen van bedrijfsgegevens die zijn gestolen of gewijzigd.
- Het voorstel bepaalt dat het niet tijdig indienen van een Formulier 8-K onder Item 1.05 niet zou leiden tot het verlies van de geschiktheid voor Formulier S-3 of Formulier SF-3.
- De rapportagedatum mag om geen enkele reden worden uitgesteld, ook niet vanwege het lopende onderzoek naar het cyberbeveiligingsincident.

Doorlopende updates van incidentrapportage: Wijzig formulieren 10-Q en 10-K om registranten te verplichten bijgewerkte informatie te verstrekken over eerder bekendgemaakte cyberbeveiligingsincidenten, en wijzig formulieren 10-Q en 10-K om bekendmaking verplicht te stellen wanneer een reeks eerder niet bekendgemaakte, afzonderlijk onbelangrijke cyberbeveiligingsincidenten in totaal wel belangrijk zijn geworden.
- De Commissie merkte op dat het doel van de voorgestelde wijzigingen is om een evenwicht te vinden tussen de noodzaak van snelle openbaarmaking en het feit dat een registrant mogelijk niet over volledige informatie over een cyberbeveiligingsincident beschikt op het moment dat hij het Formulier 8-K indient.
- Voorbeelden van deze openbaarmaking zijn: (a) elke materiële impact van het incident op de activiteiten en financiële situatie van de registrant; (b) elke potentiële materiële toekomstige impact op de activiteiten en financiële situatie van de registrant; (c) of de registrant het incident heeft verholpen of momenteel aan het verhelpen is; en (d) eventuele wijzigingen in het beleid en de procedures van de registrant als gevolg van het cyberbeveiligingsincident, en hoe het incident aanleiding heeft gegeven tot dergelijke wijzigingen.

Openbaarmaking van beleid en bestuurWijzig Formulier 10-K en voeg Sectie 106 van Verordening S-K toe om openbaarmaking te vereisen met betrekking tot:
1. Het beleid en de procedures van een registrant, indien van toepassing, voor het identificeren en beheren van cyberbeveiligingsrisico's, met inbegrip van cyberbeveiligingsrisico's die verband houden met het gebruik van externe dienstverleners, met inbegrip van de openbaarmaking van:
  - Of een registrant een programma voor cyberbeveiligingsrisicobeoordeling heeft, en zo ja, een beschrijving van het programma
  - Of de registrant beoordelaars, consultants, auditors of andere derde partijen inschakelt in zijn programma voor cyberbeveiligingsrisicobeoordeling
  - De inspanningen die worden geleverd om cyberbeveiligingsincidenten te voorkomen, op te sporen en de gevolgen ervan tot een minimum te beperken
  - Of de registrant beschikt over plannen voor bedrijfscontinuïteit en noodherstel in geval van een cyberbeveiligingsincident.
  - Eerdere cyberbeveiligingsincidenten hebben geleid tot veranderingen in het bestuur, het beleid en de procedures of technologieën van de registrant.
  - Of risico's en incidenten op het gebied van cyberbeveiliging van invloed zijn geweest of redelijkerwijs van invloed kunnen zijn op de bedrijfsresultaten of financiële positie van de registrant.
  - Of cyberbeveiligingsrisico's worden beschouwd als onderdeel van de bedrijfsstrategie, financiële planning en kapitaalallocatie van de registrant.
2. Het cyberbeveiligingsbeleid van een registrant, met inbegrip van de toezichthoudende rol van de raad van bestuur met betrekking tot cyberbeveiligingsrisico's, waaronder:
3. De rol van het management en relevante expertise bij het beoordelen en beheren van cyberbeveiligingsrisico's en het implementeren van gerelateerde beleidslijnen, procedures en strategieën, waaronder:
  - Wie is verantwoordelijk voor het meten en beheren van cyberbeveiligingsrisico's, of het nu gaat om bepaalde managementfuncties of commissies?
  - Of de registrant een Chief Information Security Officer of iemand in een vergelijkbare functie heeft aangewezen aan wie deze persoon rapporteert, en de expertise van deze persoon "zo gedetailleerd als nodig is om de aard van de expertise volledig te beschrijven".
  - De processen waarmee dergelijke personen of commissies worden geïnformeerd over en toezicht houden op de preventie, beperking, opsporing en herstelmaatregelen van cyberbeveiligingsincidenten.
  - Of en hoe vaak dergelijke personen of commissies aan de raad van bestuur of een commissie van de raad van bestuur verslag uitbrengen over cyberbeveiligingsrisico's.

Cyberbeveiligingsexpertise van de raad van bestuur: Wijzig punt 407 van Regulation S-K om openbaarmaking verplicht te stellen van informatie over de vraag of leden van de raad van bestuur van de registrant expertise op het gebied van cyberbeveiliging hebben, waaronder eerdere ervaring op het gebied van cyberbeveiliging, een certificaat of diploma op het gebied van cyberbeveiliging, en of de bestuurder kennis of andere achtergrond op het gebied van cyberbeveiliging heeft.

Toepasselijkheid op buitenlandse particuliere emittenten: Wijzig formulier 6-K om "cyberbeveiligingsincidenten" toe te voegen als rapportageonderwerp volgens algemene instructie B en wijzig formulier 20-F om buitenlandse particuliere emittenten te verplichten cyberbeveiligingsinformatie te verstrekken in hun jaarverslagen.
- Dit zou dezelfde soort openbaarmaking vereisen als voorgesteld in de punten 106 en 407(j) van Regulation S-K, die ook vereist zou zijn voor binnenlandse registranten.

Inline XBRL (Inline eXtensible Business Reporting Language) Tagging: Item 1.05 van Formulier 8-K en Items 106 en 407(j) vereisen inline XBRL-tagging, inclusief gedetailleerde tagging van beschrijvende informatie.

Afwijkende mening

Commissaris Pierce schreef een afwijkende verklaring over het voorstel, waarin zij de voorgestelde wijzigingen beschuldigde van het sturen of creëren van een lijst met verwachtingen over hoe de cyberbeveiligingsprogramma's van een emittent eruit zouden moeten zien, of het dicteren van het ondernemingsbestuur van een emittent, terwijl dit verhuld bleef als een standaard openbaarmakingsvereiste. Ter ondersteuning van haar standpunt verwijst commissaris Pierce naar het aanzienlijke detailniveau van de vereisten.

Commissaris Pierce uitte ook haar bezorgdheid over de voorgestelde vereisten voor het melden van incidenten. Ze merkte op dat de kern van de bezorgdheid is dat de Commissie "onterecht voorbijgaat aan de noodzaak om samen te werken met, en soms toe te geven aan, onze partners binnen de federale overheid en de deelstaatregeringen". Commissaris Pierce voorziet een situatie waarin het uitstellen van de bekendmaking van een materieel incident beleggers juist zou kunnen beschermen, bijvoorbeeld door "de kans op terugvordering van gestolen gelden te vergroten", en bekritiseerde het feit dat de meldingsverplichting een dergelijk uitstel niet toestaat.

Mogelijke gevolgen van de voorgestelde wijzigingen voor geregistreerden

De voorgestelde wijzigingen kunnen bepaalde onbedoelde gevolgen hebben waar registranten nu al rekening mee moeten houden, ook al zullen de definitieve regels waarschijnlijk afwijken van de voorgestelde wijzigingen. Registranten moeten dan ook nagaan welke gevolgen de voorgestelde wijzigingen kunnen hebben voor hun informatieverschaffing en welke maatregelen zij moeten nemen om naleving te waarborgen en cyberbeveiligingsrisico's te beperken.

Wijziging van rampenplannen voor cyberbeveiliging: Om te voldoen aan de openbaarmakingsverplichtingen en deadlines uit hoofde van de voorgestelde wijzigingen, moeten de cyberbeveiligingsincidentenresponsplannen van een registrant worden herzien en indien nodig worden gewijzigd om ervoor te zorgen dat de registrant in staat is om cyberbeveiligingsincidenten snel te beoordelen en te escaleren. Bovendien moeten registranten dergelijke plannen regelmatig testen, met inbegrip van de inspanningen die nodig zijn om tijdig en adequaat verslag uit te brengen over dergelijke cyberbeveiligingsincidenten in overeenstemming met de openbaarmakingsvereisten. Bij het testen moeten, indien van toepassing, het management en de bestuursleden worden betrokken om ervoor te zorgen dat de organisatie in staat is om te voldoen aan haar openbaarmakingsverplichtingen in verband met cyberbeveiligingsincidenten.

Beheer van derde partijen: De voorgestelde wijzigingen zouden extra nalevingsrisico's met zich meebrengen voor registranten die gebruikmaken van "externe dienstverleners voor informatietechnologiediensten", wat in zekere zin vrijwel alle registranten omvat, aangezien de voorgestelde wijzigingen betrekking hebben op alle "informatiebronnen die eigendom zijn van of gebruikt worden door de registrant". De meeste contracten met externe dienstverleners bevatten uiteenlopende contractuele verplichtingen met betrekking tot de vraag of en wanneer zij een cyberbeveiligingsincident aan hun klant moeten melden. Zelfs met uitgebreidere meldingsverplichtingen in het kader van een contract met een externe dienstverlener, is het aan de registrant, en niet aan de externe dienstverlener, om te bepalen of het cyberbeveiligingsincident materieel is en openbaarmaking vereist. Registranten moeten daarom overwegen om alle externe dienstverleners en hun contracten grondig te herzien om te begrijpen hoe bestaande contracten met dienstverleners een registrant in staat stellen om aan zijn openbaarmakingsverplichtingen te voldoen. Zodra nieuwe openbaarmakingsregels definitief worden, zullen registranten waarschijnlijk bestaande contracten moeten aanpassen en ervoor moeten zorgen dat toekomstige contracten nieuwe vereisten bevatten met betrekking tot cyberbeveiliging en gegevensprivacy. Registranten zullen waarschijnlijk ook aanvullende of verbeterde due diligence moeten uitvoeren, waaronder cyberbeveiligings- en privacyrisicobeoordelingen en audits van alle toepasselijke externe dienstverleners. Registranten moeten ook overwegen om hun bestaande programma voor het beheer van externe dienstverleners op te zetten of te herzien om ervoor te zorgen dat deze externe partijen tijdig voldoende informatie verstrekken, zodat een registrant het incident kan evalueren en zelf kan bepalen of openbaarmaking vereist is. Registranten moeten ook overwegen wat de externe dienstverlener over een incident kan of mag openbaar maken. Dit zal waarschijnlijk ingewikkelder zijn in situaties waarbij externe dienstverleners betrokken zijn die zelf registranten zijn met hun eigen openbaarmakingsvereisten, aangezien klanten die registranten zijn, moeten overwegen hoe openbaarmaking door de externe dienstverlener van invloed kan zijn op hun eigen openbaarmakingsanalyse indien de externe dienstverlener openbaarmaking doet. Registranten moeten ook bereid zijn om overeenkomsten te beëindigen met externe dienstverleners die niet kunnen voldoen aan nieuwe openbaarmakingsvereisten.

Cyberbeveiligingsrisico's: De door de voorgestelde wijzigingen vereiste details vereisen een aanzienlijke openbaarmaking van het beleid en de procedures van een registrant op het gebied van cyberbeveiligingsrisicobeheer, evenals van alle cyberbeveiligingsincidenten. Hoewel de voorgestelde wijzigingen bedoeld zijn om registranten aan te moedigen hun beleid en procedures te verbeteren, zullen registranten moeten afwegen in hoeverre een dergelijke openbaarmaking kwaadwillenden informatie kan verschaffen waarmee zij een gerichte aanval kunnen ontwerpen op vermeende kwetsbaarheden en detectie kunnen vermijden. Het openbaar maken van details over een aanhoudende aanval voordat deze volledig is ingeperkt en verholpen, kan bedreigers in staat stellen om een kwetsbare organisatie en alle getroffen personen en entiteiten verder te schaden. Dit kan ook van invloed zijn op het vermogen van een registrant om een aanval in te dammen en te verhelpen, wanneer de registrant informatie moet openbaar maken over een aanhoudend incident of moet openbaar maken of hij het slachtoffer is van ransomware of afpersing en wat zijn standpunt en strategie hierover is.

Risico's van rechtszaken: De voorgestelde wijzigingen vereisen dat binnen vier werkdagen nadat is vastgesteld dat een incident een materieel cyberbeveiligingsincident is, openbaarmaking plaatsvindt met betrekking tot de ontdekking van het cyberbeveiligingsincident, de aard en omvang van het incident, of er gegevens zijn gestolen, gewijzigd, geraadpleegd of gebruikt voor andere ongeoorloofde doeleinden, het effect van het incident op de activiteiten van de registrant en de status van de herstelmaatregelen voor het incident. Deze openbaarmakingsverplichting zou waarschijnlijk voorafgaan aan meldingen van datalekken aan personen, procureurs-generaal, andere regelgevende instanties en andere vereiste openbaarmakingen, evenals aan anderen die mogelijk door het incident zijn getroffen. Deze vroege openbaarmaking, die waarschijnlijk plaatsvindt voordat het onderzoek van de registrant is afgerond, kan aansprakelijkheid met zich meebrengen omdat de volledige omvang van het incident op het moment van openbaarmaking waarschijnlijk nog niet volledig bekend is. Dit kan leiden tot een rechtszaak voordat de registrant een volledig beeld heeft van de omvang en de gevolgen van het incident voor de organisatie en kan van invloed zijn op het verschoningsrecht in verband met het lopende onderzoek. Dit kan ook van invloed zijn op de analyse en de tijdigheid van de meldingsverplichtingen bij datalekken op grond van de toepasselijke wetgeving inzake de bescherming tegen en de melding van datalekken.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.