Dalış Kılavuzu:
- Bankacılık endüstrisi gruplarının bir koalisyonu, Menkul Kıymetler ve Borsa Komisyonu’ndan tartışmalı bir Biden dönemi siber güvenlik ihlali bildirim kuralını iptal etmesini istedi.
- Sorun, SEC’in kamu şirketlerinin bir önemlilik tespitinden itibaren dört gün içinde “maddi” ihlalleri ifşa etmesini zorunlu kılan kuralıdır. Gereklilik, kuruluşları potansiyel sorumluluk risklerine ve diğer zorluklara maruz bırakmıştır, “Menkul Kıymetler Endüstrisi ve Finans Piyasaları Derneği, Banka Politika Enstitüsü, Uluslararası Bankacıların Enstitüsü ve Bağımsız Topluluk Bankacıları tarafından geçen ay yapılan bir dilekçeye göre,“ SEC’in yatırımcıları koruma misyonunu ilerletecek karar veren bilgiler türünü oluşturmuyor ”.
- “Bir siber güvenlik olayının tam olarak araştırılmadan veya iyileştirilmeden önce halkın ifşa edilmesini zorunlu kılmak, özellikle üçüncü taraflardan, sadece üçüncü taraflardan mevcut olan bilgilere dayanan, acil olarak eksik veya yanlış olabilecek ve dolayısıyla grup yatırımcılarının yanlışlıkla yanlış olabilecek bilgileri de dahil olmak üzere ön bilgilere dayanarak zorunlu olarak önemli ve potansiyel olarak maliyetli yasal maruziyet yaratır”.
Dalış içgörü:
Baskı, Başkan Donald Trump tarafından atanan bir Cumhuriyetçi olan SEC Başkanı Paul Atkins, 21 Nisan’da küfür ettikten sonra yeni sorumluluklarını üstleniyor.
Banka Politikası Enstitüsü’nün Teknoloji Politikası Bölümü Bits Düzenleme Teknolojisi Başkan Yardımcısı Patrick Warren, bir röportajda “Bu, uzun süredir devam eden endişelerimizi kuralla açıkça ifade etmemiz için bir fırsattı” dedi. “SEC’in bu kuralın ABD finansal sisteminin esnekliğini zayıflatan erken açıklama gereksinimlerini iptal etmek için harekete geçeceğini umuyoruz.”
SEC sözcüsü mektup hakkında yorum yapmayı reddetti.
Hukuk firması Proskauer Rose’daki avukatların Nisan ayında yapılan bir analizine göre, Atkins’in iş üzerinde gereksiz yere külfetli olarak algıladığı düzenlemeden kaçınması beklenebilir. Ancak firmanın raporunda, “etkinliği ve maliyetleri uygun şekilde dengelediğine” inandığına dair düzenlemeleri destekleyeceğine işaret etti.
Mart ayında, Meclis Finansal Hizmetler Komitesi Cumhuriyetçiler, o zaman SEC Başkan Vekili Mark Uyeda’yı, ajansı Biden yönetimi kapsamında başlatılan çeşitli finansal düzenlemelerden biri olan siber güvenlik ihlali raporlama kuralını geri çekmeye çağırdı.
Milletvekilleri, “Bu yeni liderlik altında, SEC, önceki yönetim tarafından yürürlüğe giren birkaç nihai kuralı tekrar gözden geçirerek yasal görevini yeniden teyit edebilir” dedi. “Bu kurallar ABD sermaye piyasalarını mevcut ve potansiyel kamu şirketleri için daha az cazip hale getirdi.”
İhlal Bildirim Kuralı, Cumhuriyetçilerin muhalefetiyle 2023 yazında 3-2 oyla benimsenen daha geniş bir siber güvenlik görevlerine dahil edildi.
Kural uyarınca, kamu şirketleri bir ihlalin önemliliğini belirlemelidir.
Kuralın uygulanmasından bu yana, şirketler sektör koalisyonunun mektubuna göre, “siber güvenlik olaylarının zorunlu ve gönüllü olarak açıklanması arasındaki sınırda gezinmek için mücadele ettiler”.
SEC’in Şirket Finans Bölümü’nün yönetmeni Erik Gerding’in Mayıs 2024’teki bir açıklaması, ihlal raporlama kuralının önemsiz olaylarda süpürmeyi amaçlamadığını açıkladı. Bir şirket, henüz bir önemlilik tespiti yapmadığı veya önemli olmadığı belirlenen bir ihlali açıklamayı seçerse, şirket finansmanı bölümü, şirketi o zamanlar, bu olayı 8.01 gibi farklı bir Form 8-K maddesi altında açıklamaya teşvik eder.
Ancak bankacılık endüstrisi gruplarının mektuplarında açıklamaya rağmen karışıklık devam ettiğini söyledi. Bir örnek olarak, Telekomünikasyon Şirketi tarafından Temmuz 2024 8-K dosyası boyunca AT&T ve ajans personeli arasındaki yazışmalardan bahsettiler.
Dilekçe, “Genel olarak, 1.05. Madde uyarınca başvuran 32 şirketten sadece dokuz kişi ilk açıklamalarında önemli bir etki tespit etti ve değiştirilmiş başvurularda sadece iki tane daha yaptı” dedi. “Netlik sağlamak yerine, 1.05 ve 8.01 öğelerinin tutarsız kullanımı ve 1.05’in gelecekteki maddi etkilerle ilgili spekülasyon gerekliliği, belirsizliği piyasaya enjekte eder ve standartlaştırılmış, karar kullanma açıklamasının hedefini baltalar.”
Gruplar, daha sonra Madde 1.05 uyarınca, davacıların avukatları tarafından menkul kıymetler sınıfı eylemlerinde kullanılabilir veya sigorta şirketleri tarafından riskin “bilindiği” veya yetersiz bir şekilde hafifletildiği gerekçesiyle kapsama alanını reddetebilir. Ayrıca, şirketleri yanlış veya yanıltıcı ifadeler için sorumluluk yaratan 1934 Menkul Kıymetler Borsa Yasası’nın 18. bölümü de dahil olmak üzere maliyetli davalara maruz bırakabilir.
Mektupta, bu tür risklerin bir sonucu olarak, kuralın özel ve kamu sektörü paydaşlarına dışsal olarak paylaşılan siber güvenlik olayıyla ilgili bilgi üzerinde ürpertici bir etkisi olduğunu söyledi. Daha da karmaşık olan konular, kural, finansal kuruluşlara uygulanan diğer ihlal raporlama gereksinimleriyle de çelişiyor.