Meldplicht materiële schade cyberaanvallen in Amerika

Beursgenoteerde bedrijven in Amerika die het slachtoffer zijn geworden van cyberaanvallen moeten dat binnen 4 werkdagen melden bij toezichthouder SEC en daarmee aan aandeelhouders en de pers. Waarom is deze meldplicht nieuws en is het ook voor de Nederlandse markt relevant?  

Meldplicht

secIn Amerika is veel te doen over het verschijnsel meldplicht. Op federaal niveau en bij de afzonderlijke staten is er een omvangrijke lobby van bedrijven om die plicht zo veel mogelijk tegen te houden. Daarvoor zijn twee redenen duidelijk zichtbaar. Men vreest voor de rechter gesleept te worden voor nalatigheid en regels naleven zou leiden tot hogere kosten. In de EU wordt er iets anders mee omgegaan. Het verschil is dan ook zeer groot. Amerikaanse bedrijven worden in een veel hoger tempo en met veel meer succes door cybercriminelen aangevallen. Dat verschil zou door NIS 2 zelfs nog groter kunnen worden, maar SEC voorkomt dat deels met deze meldplicht. De Amerikaanse eisen gaan zoals gezegd gelden voor beursgenoteerde bedrijven. Zij moeten in een vast format en in duidelijk taal binnen vier werkdagen bekendmaken dat ze het slachtoffer zijn geworden van een cyberaanval waarbij materiële schade is ontstaan. Gemeld moet worden:
  • Any material effect of the incident on the registrant’s operations and financial condition;
  • Any potential material future impacts on the registrant’s operations and financial condition;
  • Whether the registrant has remediated or is currently remediating the incident; and
  • Any changes in the registrant’s policies and procedures as a result of the cybersecurity incident, and how the incident may have informed such changes.

Materieel

Het begrip “materieel” is belangrijk voor deze nieuwe eisen. Het is vooral ook slim, omdat SEC daarmee beursgenoteerde bedrijven dwingt na te denken over de aard van cyberaanvallen en doelwitten. Er moet dus bijgehouden en gerapporteerd gaan worden. (“The Commission proposed to add new Item 106 to Regulation S-K to, among other things, require updated cybersecurity disclosure in periodic reports.”) De overeenkomst met NIS 2 is duidelijk. Processen zijn nodig om aan de eisen te kunnen voldoen en daarmee kunnen directies de handen niet meer in onschuld wassen.

Nederland

Deze stap is ook voor Nederland en de rest van de EU relevant. Amerikaanse beursgenoteerde bedrijven hebben ook hier vestigingen. Die moeten zich ook aan de SEC regels houden. Het gaat nog een stap verder. Bedrijven zullen kritischer naar de eigen leveranciers en anderen waarmee wordt samengewerkt gaan kijken. Wie in de keten zit van een Amerikaans beursgenoteerd bedrijf kan zich dus voorbereiden op nieuwe vragenlijstjes en verzoeken de processen inzichtelijk te maken. (Bron – PDF)
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein