De Amerikaanse toezichthouder SEC lijkt bezig met regels voor het melden van incidenten. Die regels moeten gaan gelden voor elke organisatie met een beursnotering in Amerika.
Meldplicht
Er is echter iets aan de hand met die meldplicht. Die stamt namelijk nog uit het analoge, offline tijdperk. Tegenwoordig weten we allemaal dat er puur digitale incidenten zijn met grote impact. Datalekken zijn daar een berucht voorbeeld van. Maar het geldt ook voor het alles dat met cybersecurity te maken heeft. Die onderwerpen staan gewoon niet beschreven in de regels die de SEC hanteert. Gevolg daarvan is dat niet ieder beursgenoteerd bedrijf even veel meldt en ook de manier waarop dat gebeurt verschilt. De huidige set formulieren voor uiteenlopende meldingen is 22 jaar oud en houdt geen rekening met digitaal.
Het opstellen van een verplicht te gebruiken formulier is een ding waar de SEC zich nu mee bezighoudt. Het andere is nog iets belangrijker. Men gaat een lijst opstellen van (digitale) incidenten die altijd gemeld moeten worden.
Dat laatste is makkelijker gezegd dan gedaan. Ten eerste weten niemand wat over een paar jaar nieuwe “hot topic” zijn. Daarnaast is het zinloos heel precies te definiëren, want dan valt te veel buiten de scope van de meldplicht. De regels moeten overigens gaan gelden voor ieder beursgenoteerd bedrijf, adviseurs, investeerder en beurshandelaren (link).
Keten
Voor wie denkt: “gelukkig is dat de andere kant van de oceaan en het raakt mij niet” is er slecht nieuws. De impact van de nieuwe SEC regels voor het melden van digitale incidenten is groot. Partijen die hiermee te maken krijgen moeten namelijk ook de keten waar ze deel van uitmaken hierbij betrekken. Een voorproefje daarvan hebben we de laatste jaren al gezien bij het in kaart brengen van de SolarWinds schade. De link met de Britse plannen is ook zichtbaar. In die keten zitten namelijk ook talloze IT dienstverleners en MSP’s.