Gewijzigde Verordening S-P: blijft van kracht en wordt in 2026 herzien

Vorige maand heeft de afdeling Onderzoek van de Amerikaanse Securities and Exchange Commission (SEC) haar "Onderzoeksprioriteiten" voor het boekjaar 2026 bekendgemaakt. In de publicatie van dit jaar heeft de SEC aangekondigd dat zij zal beginnen met het onderzoeken van onder haar bevoegdheid vallende beleggingsadviseurs, beleggingsmaatschappijen en effectenmakelaars op naleving van de wijzigingen in Regulation S-P, die onder meer voorschrijven dat zij datalekken met betrekking tot klantgegevens binnen 30 dagen moeten melden. 

Deze wijzigingen, aangenomen op 16 mei 2024[1], en algemeen bekend als "Amended Reg S-P", hebben de intrekking in juni 2025 van veertien regels die door de vorige SEC-voorzitter Gary Gensler waren aangenomen, overleefd. Amended Reg S-P lijkt niet alleen deze golf van intrekkingen van regels te hebben overleefd, maar zou nu ook in het komende jaar en daarna onder de Division of Examinations kunnen floreren. In de Examination Priorities adviseert de SEC met name het volgende:

Ter voorbereiding op de nalevingsdata voor de wijzigingen van de Commissie in Verordening S-P, zal de afdeling tijdens onderzoeken met bedrijven in gesprek gaan over hun voortgang bij het opstellen van incidentresponsprogramma's die redelijkerwijs zijn ontworpen om ongeoorloofde toegang tot of gebruik van klantgegevens op te sporen, erop te reageren en ervan te herstellen. Na de toepasselijke nalevingsdata zal de afdeling onderzoeken of bedrijven beleid en procedures hebben ontwikkeld, geïmplementeerd en gehandhaafd in overeenstemming met de nieuwe bepalingen van de regel die betrekking hebben op administratieve, technische en fysieke beveiligingsmaatregelen voor de bescherming van klantgegevens.[2]   

Hoewel er in 2025 snel en ingrijpend is gesleuteld aan veel prioriteiten van de SEC, blijft cyberbeveiliging een aandachtspunt. Dat is geen verrassing, want cyberrisicobeheer blijft hopelijk een prioriteit van de SEC, ongeacht wie er in de 'stoel' zit. 

De nalevingsdatum voor de gewijzigde Reg S-P voor grotere rapporterende bedrijven was 3 december 2025 en voor kleinere rapporterende bedrijven is dat 3 juni 2026. De belangrijkste wijzigingen die deze regel vereist, zijn:

• Het ontwikkelen en implementeren van schriftelijke beleidsregels en procedures voor een incidentresponsplan;

• Het ontwikkelen en implementeren van schriftelijke beleidsregels en procedures voor het toezicht op dienstverleners, met inbegrip van procedures die redelijkerwijs zijn ontworpen om ervoor te zorgen dat dienstverleners de betrokken bedrijven binnen 72 uur op de hoogte brengen van beveiligingsincidenten waarbij "klantinformatiesystemen" betrokken zijn; 

• Klanten (inclusief klanten van bepaalde andere financiële instellingen) binnen 30 dagen op de hoogte stellen indien hun "gevoelige klantgegevens" zijn gecompromitteerd; en 

• Uitbreiding van de reikwijdte van de informatie die onder de oorspronkelijke "Reg S-P" valt, invoering van aanvullende verplichtingen inzake het bijhouden van gegevens voor instellingen die onder de regeling vallen, en invoering van een uitzondering op de verplichting om jaarlijks een privacyverklaring te verstrekken.

Bedrijven moeten dus voorbereid zijn op een controle door de afdeling Examinations Staff om te zien of ze klaar zijn voor de gewijzigde Reg S-P. Verder heeft de SEC eerder dit jaar bij de bekendmaking van de prioriteiten voor de Cyber and Emerging Technologies Unit van de SEC het volgende opgenomen: "Naleving van cyberbeveiligingsregels en -voorschriften door gereguleerde entiteiten." Deze prioriteit, in combinatie met de in dit artikel beschreven onderzoeksprioriteiten, toont aan dat, zelfs als SEC-voorzitter Paul Atkins "regulering door handhaving" in het algemeen heeft afgeschaft, cyberbeveiliging een aandachtsgebied blijft voor de Commissie.