De SEC heeft nieuwe cyberbeveiligingsregels ingevoerd openbaarmakingsregels voor beursgenoteerde ondernemingen, die op 15 december 2023 van kracht wordt. Deze regels schrijven voor dat ondernemingen in hun jaarverslagen uitgebreide informatie verstrekken over de manier waarop zij materiële cyberbeveiligingsrisico's beoordelen, identificeren en beheren (Formulier 10-K). Ze vereisen dat organisaties: de rol van de raad van bestuur bij het toezicht op cyberbeveiligingsrisico's schetsen. Tot slot, de SEC vereist dat bedrijven om significante cyberbeveiligingsincidenten binnen vier dagen te melden (Formulier 8-K).
Deze regelgeving heeft een aanzienlijke impact op zowel bedrijven als Chief Information Security Officers (CISO's). CISO's staan in de schijnwerpers en zijn verantwoordelijk voor het waarborgen van duidelijke en snelle communicatie over de cyberbeveiligingsmaatregelen en -incidenten van hun bedrijf. Deze verhoogde zichtbaarheid vereist dat CISO's sterke communicatiekanalen met topmanagers en bestuursleden onderhouden. CISO's moeten cyberbeveiligingsstrategieën ook afstemmen op zowel de bedrijfsdoelen als de wettelijke vereisten.
Voor zowel CEO's als bestuursleden van bedrijven verstevigt de regelgeving hun focus op cybersecuritybestendigheid binnen corporate governance. Zij zijn verantwoordelijk voor actieve deelname aan en toezicht op cybersecuritystrategieën. De raad van bestuur is nu verantwoordelijk voor het waarborgen van niet alleen de naleving, maar ook de effectiviteit van het cybersecurityprogramma van hun bedrijf. Deze verschuiving onderstreept de veranderende rol van corporate governance bij het beheersen van cyberrisico's. Het onderstreept de groeiende interesse van investeerders in hoe bedrijven zich voorbereiden op het omgaan met en beperken van cyberdreigingen.
Beleggers maken zich steeds meer zorgen over de gevolgen van cybersecurity voor hun beleggingen. Dit wordt aangewakkerd door het toenemende aantal spraakmakende cyberincidenten zoals ransomware-aanvallen en datalekken. Beleggers geven cybersecurity prioriteit naast kritieke milieu-, sociale en governance-vraagstukken (ESG). Dit komt tot uiting in RBC's Global Asset Management Responsible Investment SurveyBeleggers zoeken duidelijke, betrouwbare en bruikbare cybersecuritygegevens om hun investeringsbeslissingen te onderbouwen. Ze hebben duidelijke indicatoren nodig voor de veerkracht van cybersecurity, zonder dat ze diepgaande technische kennis van het vakgebied hoeven te bezitten. Goede cybersecurity wordt niet alleen gezien als een risicobeperkende factor, maar ook als een indicator van robuuste corporate governance en managementkwaliteit. Deze kwaliteiten maken bedrijven aantrekkelijker voor investeringen. Tools die cybersecuritystatistieken integreren, worden gebruikt om de cybersecurityparaatheid van een bedrijf te evalueren. De beste Chief Information Security Officers (CISO's) zijn zich dan ook bewust van deze evaluaties door beleggers. Succesvolle CISO's zorgen ervoor dat de cybersecuritymaatregelen van hun organisaties effectief worden gecommuniceerd. Effectieve CISO's benadrukken wereldwijde trends zoals grotere transparantie en verantwoording in cybersecurityrapportage. Dit helpt de zorgen van beleggers en de beleggingsgemeenschap te kalmeren.
De nieuwe cybersecurityregelgeving van de SEC vereist betrokkenheid van het senior management. Bedrijfsleiders moeten betrokken zijn bij het ontwikkelen van strategieën voor hun cybersecurity-onthullingen. CISO's brengen leidinggevenden samen om de cyberweerbaarheid of cyberparaatheid binnen hun bedrijf te evalueren. Deze bijeenkomsten creëren kritisch inzicht in hoe deze regelgeving uw bedrijf en zijn stakeholders beïnvloedt. Deze bijeenkomsten omvatten meestal de CISO, de General Counsel, een Chief Risk Officer (indien aanwezig), de CFO en het hoofd Investor Relations. Belangrijke discussiepunten draaien om wie de leiding heeft over de onthullingsinspanningen en de rol van de CISO bij het melden van risico's en incidenten. In de discussies moeten samenwerkingsstrategieën, communicatie met investeerders en de definitie van een "materiaal”cyberincident met betrekking tot de bedrijfsvoering waarvoor nu rapportage op de 8-K vereist is.
Deze discussies moeten een duidelijke verantwoordelijkheidsmatrix binnen uw bedrijf creëren met betrekking tot openbaarmaking van cybersecurity. CISO's moeten er ook voor zorgen dat hun aanpak van cybersecurity effectief wordt gecommuniceerd naar investeerders en voldoet aan hun verwachtingen op het gebied van transparantie. en Begrip. Uw leiderschapsteam moet ook rekening houden met de bestaande communicatiestrategieën van het bedrijf rond cyberrisico's. Ze moeten bepalen of nieuwe methoden, zoals een afzonderlijk cybersecurityrapport (jaarlijkse audit door een derde partij), gerechtvaardigd zijn om hun governance van dergelijke risico's duidelijk over te brengen. Het gaat hierbij niet alleen om compliance; het gaat om het ontwikkelen van een geïnformeerd, coherent extern en intern verhaal over cybersecurity governance. De CISO speelt een cruciale, maar niet de enige rol in dit proces. De uitkomsten van deze bijeenkomsten zullen de cybersecuritypositie en investor relations van het bedrijf in de toekomst bepalen.
Volgens de nieuwe vereisten van de SEC moeten organisaties een reeks informatie openbaar maken die beleggers helpt hun cybersecurityrisicobeheerprocessen te begrijpen. Deze informatie omvat de cybersecuritystrategie van de organisatie en het risicobeheer door derden. Een raamwerk dat vaak wordt gebruikt voor dergelijke risicobeoordelingen is de NIST Cybersecurity Framework (NSF). Als alternatief gebruiken sommige bedrijven de NIST 800-171 Risicomanagementstandaard voor hun compliancestrategie. Vervolgens moet het managementteam, inclusief de CIO, CISO, CEO, CFO en de raad van bestuur, een rapportageprogramma opstellen dat de naleving en risicobeperking voor het bedrijf beschrijft ten opzichte van de controles die in deze beoordelingsmethoden worden beschreven.
Bovendien wordt van bedrijven verwacht dat zij details delen over belangrijke beleidslijnen, technische controles en onafhankelijke veiligheidsevaluaties, zoals SOC 2-certificeringen. Programmastatistieken worden gerapporteerd met details over de effectiviteit van het programma en de protocollen voor incidentbeheer. De dekking van cyberverzekeringen wordt gevalideerd en helpt het financiële risico van cyberincidenten te verminderen en de relevantie van cyberbeveiligingsgebeurtenissen en -problemen te bepalen.
CISO's hebben de taak deze gegevens te verzamelen door middel van documentbeoordelingen en overleg met hun cybersecurityteams en senior executives. Omdat veel organisaties mogelijk niet direct toegang hebben tot al deze informatie, kan het nuttig zijn om een cross-functioneel team te vormen om te helpen bij het verzamelen van informatie. U kunt CyberHoot implementeren en statistieken vastleggen voor elke medewerker die zijn of haar governancebeleid ondertekent, video-opdrachten voor bewustwordingstrainingen uitvoert en phishingsimulaties en -tests uitvoert. Het uiteindelijke doel is om te rapporteren aan de raad van bestuur, de directie en "redelijke investeerders“een verhaal dat voor iedereen toegankelijk en begrijpelijk is.
Hoewel bedrijven die hun programma's ontwikkelen zich misschien afvragen wat anderen doen, is het belangrijk om uw eigen compliance- en rapportageprogramma te ontwikkelen op basis van uw eigen omvang, capaciteiten en de verwachtingen van investeerders. Er zijn bronnen met gecentraliseerde informatie die u kunt raadplegen voor de ontwikkeling van uw eigen programma. Zo werd in 2022 een analyse gepubliceerd door de EY Centrum voor Bestuurszaken Uit openbaarmakingen van Fortune 100-bedrijven bleek dat er meer transparantie is in het beheer van cyberbeveiligingsrisico's.
Ondanks eerdere onthullingen vereisen de nieuwe cybersecurityregels van de SEC gedetailleerde en potentieel transformerende rapportagepraktijken, te beginnen met beursgenoteerde bedrijven. Hoewel de regels zich primair richten op beursgenoteerde bedrijven, zouden andere particuliere en kleinere bedrijven zich vertrouwd moeten maken met deze nieuwe regels en hun activiteiten moeten voorbereiden en monitoren om hun eigen cybersecuritybestendigheid en -paraatheid te verbeteren.
Bedrijven moeten zich bezighouden met de uitdaging om te bepalen wat een “materiaal"cyberbeveiligingsincident voor openbaarmakingsdoeleinden, zoals vereist door de SEC. Een materieel incident wordt door de SEC gedefinieerd als "een die door een redelijke investeerder die een investeringsbeslissing neemt als belangrijk zou worden beschouwd"Deze vaststelling gaat verder dan financiële drempels en houdt rekening met zowel kwantitatieve als kwalitatieve gegevens. Het omvat incidenten die leiden tot reputatieschade of diefstal van informatie die, hoewel niet financieel kwantificeerbaar, een aanzienlijke impact hebben op personen of het bedrijf.
De SEC stelt voor dat, hoewel de financiële impact doorgaans in overweging wordt genomen, ook de omvang en aard van de schade moeten worden geëvalueerd. Voor een grondig inzicht in de potentiële impact worden bedrijven aangemoedigd cyberrisico's financieel te kwantificeren. Deze analyse kan zwakke punten in programma's, investeringsbehoeften en risicobeperkende strategieën aan het licht brengen.
Hoewel CISO's doorgaans niet de uiteindelijke beoordelaars zijn van de materialiteit, dienen zij nauw betrokken te zijn bij het beoordelingsproces en bij het ontwikkelen van proactieve strategieën voor risicobeheersing. De materialiteit van incidenten dient per geval te worden bepaald door juridisch adviseurs, de CEO en de raad van bestuur. Bij de beslissing over de materialiteit moet rekening worden gehouden met de specifieke omstandigheden en mogelijke gevolgen voor het bedrijf en zijn stakeholders.
De SEC stelt specifieke openbaarmakingsvereisten vast voor cyberrisico's van derden en erkent hun aanzienlijke potentieel om cyberincidenten te veroorzaken. Doordat steeds meer bedrijven uitbesteden aan leveranciers voor efficiëntie en concurrentievoordelen, zijn de risico's van kwetsbaarheden in de toeleveringsketen en bij derden toegenomen. CISO's wordt geadviseerd een robuuste strategie voor cyberrisico's van derden op te stellen, inclusief het identificeren en prioriteren van externe partners (vaak gebaseerd op de kriticiteit van de gegevens die ze bevatten of waartoe ze toegang hebben), het uitvoeren van risicogebaseerde cyberbeoordelingen en het continu monitoren van deze entiteiten op nieuwe bedreigingen. Een grondig programma is essentieel voor CISO's om stakeholders te verzekeren van effectief risicomanagement en naleving van de openbaarmakingsvereisten van de SEC.
Deze ontwikkelingen benadrukken het strategische belang van cybersecurity binnen corporate governance en de noodzaak voor leiderschap om goed geïnformeerd en proactief toezicht te houden op cybersecurity. Ze wijzen ook op een trend naar meer transparantie in de manier waarop bedrijven cybersecurity beheren en erover rapporteren, met de nadruk op het creëren van een robuuste beveiligingscultuur die aansluit bij de belangen van investeerders en de verwachtingen van toezichthouders.
Bronnen:
https://www.sec.gov/news/press-release/2023-139
Ontdek en deel de nieuwste trends, tips en best practices op het gebied van cyberbeveiliging, maar ook nieuwe bedreigingen waar u op moet letten.
Een praktische handleiding voor vCISO's: DE WAARSCHUWING DIE WE NEGEERDEN OF NIET KONDEN BEGRIJPEN. Jarenlang was de meest geloofwaardige...
Lees meer
Een handleiding om oplichtingspraktijken waarbij iemand zich voordoet als een topmanager te herkennen voordat de nep-CEO een echte overschrijving ontvangt. Het...
Lees meer
Kunstmatige intelligentie (of AI) maakt phishingmails slimmer, malware geniepiger en het stelen van inloggegevens gemakkelijker...
Lees meerKrijg een scherper beeld van menselijke risico's met een positieve aanpak die traditionele phishingtests overtreft.
