Aandeelhouders mogen niet weten of directies cyberbekwaam zijn

In Amerika let toezichthouder SEC goed op de belangen van aandeelhouders en daarom hebben directies te maken met steeds meer regels. Een nieuwe set regels uit maart 2022 moet meer beleggers meer inzicht geven in de cyberkennis van bestuurders van beursgenoteerde bedrijven. De weerstand daartegen is zo groot dat de invoering van die regels voor de tweede keer wordt uitgesteld.

Meldplicht

secDe regels waar het om gaat verplicht beursgenoteerde bedrijven bekend te maken wanneer er een “material cybersecurity incident” heeft plaatsgevonden. Die informatie die binnen vier dagen aan beleggers, aandeelhouders en andere stakeholders bekend te worden gemaakt. Het gaat dus om iets anders dan een  meldplicht datalekken. Toen dit plan bekend werd gemaakt brak er – heel voorspelbaar – een storm van kritiek los. Vier dagen is te kort om te kunnen zeggen of een incident ernstig genoeg is, was het voornaamste argument waarmee lobbyisten probeerden het tij te keren. SEC was niet onder de indruk, evenmin van het verwijt dat de toezichthouder zich te veel bezighoudt met het besturen van bedrijven op micro-niveau. Een voorstel van marktpartijen om de termijn van vier dagen op te rekken tot 30 dagen, ook als er sprake is van een “negative effect on national security”, kan bijna niet serieus worden genomen.

Weerstand

De weerstand is echter zo groot en leidt tot zoveel documenten en bezwaren waar SEC op moet reageren dat de invoering nu wederom moet worden uitgesteld. Maar inmiddels is ook bekend waarom die weerstand zo immens groot is en lobbyisten overuren draaien. In het pakket van SEC regels staat namelijk ook dat bestuurders van beursgenoteerde bedrijven moeten kunnen aantonen cyberbekwaam te zijn. “Investors should know whether board members are competent in handling cybersecurity issues”.

Aap uit de mouw

Daar komt de aap uit de mouw. Bestuurders willen die transparantie niet. Aandeelhouders, de eigenaren van bedrijven, mogen niet te veel inzicht hebben in de vaardigheden van het C-level. Gelet op het grote aantal incidenten (onder andere Uber, Walmart, Hilton) waarbij de digitale onkunde van het C-level een rol heeft gespeeld mag die krampachtige weerstand niet verbazen.

Aansprakelijkheid

Er speelt uiteraard nog iets. Bestuurders die niet cyberbekwaam zijn lopen niet alleen de kans een verlenging van het contract mis te lopen. Door de SEC in kaart gebrachte onbekwaamheid zet ook de sluizen open voor rechtszaken. De vrees aansprakelijk gehouden voor de gevolgen van verwijtbare incidenten, houdt deze groep duidelijk meer bezig dan maatregelen tegen cybercriminelen. Tot zover bekend is er in Nederland en elders in de EU geen vergelijkbare regel waarmee aandeelhouders beter kunnen inschatten hoe cyberbekwaam het c-level is.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein