In Amerika let toezichthouder SEC goed op de belangen van aandeelhouders en daarom hebben directies te maken met steeds meer regels. Een nieuwe set regels uit maart 2022 moet meer beleggers meer inzicht geven in de cyberkennis van bestuurders van beursgenoteerde bedrijven. De weerstand daartegen is zo groot dat de invoering van die regels voor de tweede keer wordt uitgesteld.
Meldplicht
De regels waar het om gaat verplicht beursgenoteerde bedrijven bekend te maken wanneer er een “material cybersecurity incident” heeft plaatsgevonden. Die informatie die binnen vier dagen aan beleggers, aandeelhouders en andere stakeholders bekend te worden gemaakt. Het gaat dus om iets anders dan een meldplicht datalekken.
Toen dit plan bekend werd gemaakt brak er – heel voorspelbaar – een storm van kritiek los. Vier dagen is te kort om te kunnen zeggen of een incident ernstig genoeg is, was het voornaamste argument waarmee lobbyisten probeerden het tij te keren.
SEC was niet onder de indruk, evenmin van het verwijt dat de toezichthouder zich te veel bezighoudt met het besturen van bedrijven op micro-niveau. Een voorstel van marktpartijen om de termijn van vier dagen op te rekken tot 30 dagen, ook als er sprake is van een “negative effect on national security”, kan bijna niet serieus worden genomen.
Weerstand
De weerstand is echter zo groot en leidt tot zoveel documenten en bezwaren waar SEC op moet reageren dat de invoering nu wederom moet worden uitgesteld. Maar inmiddels is ook bekend waarom die weerstand zo immens groot is en lobbyisten overuren draaien. In het pakket van SEC regels staat namelijk ook dat bestuurders van beursgenoteerde bedrijven moeten kunnen aantonen cyberbekwaam te zijn. “Investors should know whether board members are competent in handling cybersecurity issues”.
Aap uit de mouw
Daar komt de aap uit de mouw. Bestuurders willen die transparantie niet. Aandeelhouders, de eigenaren van bedrijven, mogen niet te veel inzicht hebben in de vaardigheden van het C-level. Gelet op het grote aantal incidenten (onder andere Uber, Walmart, Hilton) waarbij de digitale onkunde van het C-level een rol heeft gespeeld mag die krampachtige weerstand niet verbazen.
Aansprakelijkheid
Er speelt uiteraard nog iets. Bestuurders die niet cyberbekwaam zijn lopen niet alleen de kans een verlenging van het contract mis te lopen. Door de SEC in kaart gebrachte onbekwaamheid zet ook de sluizen open voor rechtszaken. De vrees aansprakelijk gehouden voor de gevolgen van verwijtbare incidenten, houdt deze groep duidelijk meer bezig dan maatregelen tegen cybercriminelen. Tot zover bekend is er in Nederland en elders in de EU geen vergelijkbare regel waarmee aandeelhouders beter kunnen inschatten hoe cyberbekwaam het c-level is.