Meldplicht materiële schade cyberaanvallen in Amerika

Beursgenoteerde bedrijven in Amerika die het slachtoffer zijn geworden van cyberaanvallen moeten dat binnen 4 werkdagen melden bij toezichthouder SEC en daarmee aan aandeelhouders en de pers. Waarom is deze meldplicht nieuws en is het ook voor de Nederlandse markt relevant?

Meldplicht

In Amerika is veel te doen over het verschijnsel meldplicht. Op federaal niveau en bij de afzonderlijke staten is er een omvangrijke lobby van bedrijven om die plicht zo veel mogelijk tegen te houden. Daarvoor zijn twee redenen duidelijk zichtbaar. Men vreest voor de rechter gesleept te worden voor nalatigheid en regels naleven zou leiden tot hogere kosten.

In de EU wordt er iets anders mee omgegaan. Het verschil is dan ook zeer groot. Amerikaanse bedrijven worden in een veel hoger tempo en met veel meer succes door cybercriminelen aangevallen. Dat verschil zou door NIS 2 zelfs nog groter kunnen worden, maar SEC voorkomt dat deels met deze meldplicht.

De Amerikaanse eisen gaan zoals gezegd gelden voor beursgenoteerde bedrijven. Zij moeten in een vast format en in duidelijk taal binnen vier werkdagen bekendmaken dat ze het slachtoffer zijn geworden van een cyberaanval waarbij materiële schade is ontstaan.

Gemeld moet worden:

• Any material effect of the incident on the registrant’s operations and financial condition;
• Any potential material future impacts on the registrant’s operations and financial condition;
• Whether the registrant has remediated or is currently remediating the incident; and
• Any changes in the registrant’s policies and procedures as a result of the cybersecurity incident, and how the incident may have informed such changes.

Materieel

Het begrip “materieel” is belangrijk voor deze nieuwe eisen. Het is vooral ook slim, omdat SEC daarmee beursgenoteerde bedrijven dwingt na te denken over de aard van cyberaanvallen en doelwitten. Er moet dus bijgehouden en gerapporteerd gaan worden. (“The Commission proposed to add new Item 106 to Regulation S-K to, among other things, require updated cybersecurity disclosure in periodic reports.”)

De overeenkomst met NIS 2 is duidelijk. Processen zijn nodig om aan de eisen te kunnen voldoen en daarmee kunnen directies de handen niet meer in onschuld wassen.

Nederland

Deze stap is ook voor Nederland en de rest van de EU relevant. Amerikaanse beursgenoteerde bedrijven hebben ook hier vestigingen. Die moeten zich ook aan de SEC regels houden. Het gaat nog een stap verder. Bedrijven zullen kritischer naar de eigen leveranciers en anderen waarmee wordt samengewerkt gaan kijken. Wie in de keten zit van een Amerikaans beursgenoteerd bedrijf kan zich dus voorbereiden op nieuwe vragenlijstjes en verzoeken de processen inzichtelijk te maken.

(Bron – PDF)