SEC stuurt aan op nieuwe regels voor melden incidenten

De Amerikaanse toezichthouder SEC lijkt bezig met regels voor het melden van incidenten. Die regels moeten gaan gelden voor elke organisatie met een beursnotering in Amerika.

Meldplicht

secIedere beursgenoteerde organisatie heeft een meldplicht voor ontwikkelingen die impact op de koers kunnen hebben. Alle aandeelhouders moeten over de zelfde informatie beschikken. Toezichthouders hebben recht op nog veel meer informatie. Die uitgangspunten zijn aan beide kanten van de oceaan gelijk. Er is echter iets aan de hand met die meldplicht. Die stamt namelijk nog uit het analoge, offline tijdperk. Tegenwoordig weten we allemaal dat er puur digitale incidenten zijn met grote impact. Datalekken zijn daar een berucht voorbeeld van. Maar het geldt ook voor het alles dat met cybersecurity te maken heeft. Die onderwerpen staan gewoon niet beschreven in de regels die de SEC hanteert. Gevolg daarvan is dat niet ieder beursgenoteerd bedrijf even veel meldt en ook de manier waarop dat gebeurt verschilt. De huidige set formulieren voor uiteenlopende meldingen is 22 jaar oud en houdt geen rekening met digitaal. Het opstellen van een verplicht te gebruiken formulier is een ding waar de SEC zich nu mee bezighoudt. Het andere is nog iets belangrijker. Men gaat een lijst opstellen van (digitale) incidenten die altijd gemeld moeten worden. Dat laatste is makkelijker gezegd dan gedaan. Ten eerste weten niemand wat over een paar jaar nieuwe “hot topic” zijn. Daarnaast is het zinloos heel precies te definiëren, want dan valt te veel buiten de scope van de meldplicht. De regels moeten overigens gaan gelden voor ieder beursgenoteerd bedrijf, adviseurs, investeerder en beurshandelaren (link).

Keten

Voor wie denkt: “gelukkig is dat de andere kant van de oceaan en het raakt mij niet” is er slecht nieuws. De impact van de nieuwe SEC regels voor het melden van digitale incidenten is groot. Partijen die hiermee te maken krijgen moeten namelijk ook de keten waar ze deel van uitmaken hierbij betrekken. Een voorproefje daarvan hebben we de laatste jaren al gezien bij het in kaart brengen van de SolarWinds schade. De link met de Britse plannen is ook zichtbaar. In die keten zitten namelijk ook talloze IT dienstverleners en MSP’s.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein