Temmuz ayında SEC, önemli siber güvenlik olaylarının ve siber risk yönetiminin, stratejisinin ve yönetişiminin yabancı özel kuruluşlar da dahil olmak üzere kamu şirketleri tarafından ifşa edilmesini gerektiren nihai bir kuralı kabul etti. Yeni kural, halka açık şirketlerin herhangi bir önemli siber güvenlik olayını tespit edildikten sonraki dört iş günü içinde açıklamasını gerektiriyor. Ayrıca son kural, şirketlerin bir siber güvenlik risk değerlendirme programına sahip olup olmadıklarını açıklamalarını ve siber güvenlik tehditlerinden kaynaklanan maddi riskleri nasıl değerlendirdiklerini, tanımladıklarını ve yönettiklerini açıklamalarını gerektiriyor.
Düzenlemenin genel amacı yatırımcılara, şirketlere ve bağlantılı pazarlara tutarlı, karşılaştırılabilir ve karar vermede yararlı siber güvenlik bilgileri sağlamaktır. Ancak yeni karar, karmaşık zorluklar ve potansiyel yükümlülükler yaratıyor ve işletmelerin siber sigortacılarıyla ortaklık halinde gereksinimleri karşılamak için risk azaltma stratejileri geliştirmesinin önemini vurguluyor.
Yabancı özel ihraççıların ABD merkezli halka açık şirketlerle karşılaştırılabilir bilgi açıklamaları yapmalarını gerektirdiğinden, ABD merkezli olmayan birçok şirketin de nihai karara esas itibarıyla uymak zorunda kalacağını belirtmek önemlidir. Ek olarak, birçok farklılığa rağmen dünyanın başka yerlerinde de benzer amaçlara sahip düzenlemeler mevcut olup, küresel işletmeler için ek düzenleme karmaşıklıkları yaratmaktadır.
Aşağıda, küresel işletmelerin SEC siber güvenlik ifşa kuralının risk sonuçlarını yönetmesi için üç yolu ayrıntılı olarak ele alıyoruz.
Uyumluluk zorluklarını belirleme
Bu yeni kuralla SEC, yatırımcılara siber risklerini nasıl yönetecekleri konusunda doğru ve değerli bilgiler verme sorumluluğunu halka açık şirketlere yüklüyor. Bununla birlikte, maddi bir siber olayı neyin oluşturduğunun öznel doğasında gezinirken mevzuata uygunluk bir zorluk haline gelebilir. Olayın ifşa edilmesinin kamusal niteliği ile düzenleyicilere ve hissedarlara sağlanacak ihlalle ilgili bilgilerin kapsamının belirlenmesinin karmaşıklığı arasında, durumu idare etmek oldukça zor hale gelebilir. Bazı uzmanlar, nihai kural kapsamında zorunlu kılınan kamuya açıklamaların, açıklama yapan şirketler için beklenmedik bir şekilde daha fazla risk yaratabileceğini düşünüyor. Bu tür sonuçları sınırlamak için kuruluşların siber risk yönetimleri ve hazırlıkları hakkında çok fazla açıklama yapmamaya dikkat etmeleri, ancak yine de düzenlemenin bilgi açıklama takvimine uymaları gerekiyor. Bir siber güvenlik olayının ardından bir şirketin, saldırının nedenini, iş kesintisinin boyutunu ve hizmetleri geri yüklemek için en etkili önlemleri belirlemeye yoğun bir şekilde odaklanması muhtemeldir. Olayın önemli olup olmadığına ilişkin tespitin dört günlük bir zaman dilimine eklenmesi, bu önemli faaliyetleri karmaşık hale getiriyor. Olay ve örgütün çok yönlü tepkisi hakkında çok fazla bağlam sağlanırsa, ek tehdit aktörleri potansiyel olarak takip saldırıları düzenlemek üzere silahlandırılabilir; Yeterli bağlam sağlanmazsa kuruluş, SEC’in raporlama yetkisine uymama riskiyle karşı karşıya kalır. Şirketler her iki durumda da zor durumda.
Potansiyel sorumluluğu anlamak
Kamuya doğru açıklama yapma konusundaki yasal görevler belirsiz olduğunda, hissedar avukatları bunu dikkate alır. Önemli bir siber olayın niteliğini ve kapsamını kısa bir süre içinde tam olarak ifşa etmek için hızlı karar almanın gerekli olduğunun bilincinde olan avukatlar, geriye dönüp bakıldığında bir şirketin yatırımcıları yanıltmak amacıyla önemli yanlış beyanlar ve eksiklikler yaptığını iddia edebilir. Hissedar avukatları toplu dava açma fırsatı olup olmadığını anlamaya çalışırken hızlı hareket edebilirler. Örneğin, yönetimin bir veri ihlalinin doğası ve büyüklüğü hakkında önemli yanlış beyanlarda bulunduğunu ileri sürerek siber güvenlik risk yönetimi ve yönetişimine ilişkin açıklanan bilgilerin doğruluğuna itiraz edebilirler. İlgili bir olasılık, yasal olarak hissedarların çıkarları doğrultusunda hareket etmekle yükümlü olan ve bunu yapmayan yönetim kurulu üyelerine karşı açılan vekalet görevinin ihlali davasıdır. Bu potansiyel sorumluluk riskleri, uygun limit ve teminatların sağlanması için bir kuruluşun siber sigorta poliçelerinin ve D&O (yönetici ve memurlar) sorumluluk sigortası teminatlarının risk yöneticileri tarafından incelenmesini gerektirir.
Bir kuruluşun bir siber olaydan sonraki ilk 72 saat içinde düzenleyici kurumlarla nasıl etkileşime geçeceği, kaçınılmaz olarak soruşturmanın geri kalanını etkileyecek ve ihlal müdahale ortaklarının sunduğu değeri ortaya çıkaracaktır. Siber sigortacıların ve onların ortak veri koruma hukuk firmalarının sağlayabileceği birçok hizmet vardır; bunlar arasında, her bir siber olay hakkında danışmanlık sağlayacak bir avukatın atanması, bir ihlalin önemli olup olmadığının belirlenmesinde yardım ve kamuyu aydınlatma dosyasının fiili olarak hazırlanması yer alır. . Diğer danışmanlık hizmetleri arasında, bir kuruluşun Bilgi Güvenliği Baş Görevlileri ve InfoSec ekipleriyle ortaklık kurmak ve önemli hissedar bilgilerinin ifşa edilmemesinden kaynaklanan potansiyel sorumluluğu daha iyi anlamak ve bunlara hazırlanmak için yönetim kurulu üyeleri ve üst düzey yöneticilere bir D&O koçu sağlanması yer alır.
Olay müdahale planlarının revize edilmesi
Uzmanlar, küresel işletmelere, siber sigortacılarıyla birlikte birden fazla düzenleyici son tarih ve içerik gereksinimi potansiyelini karşılamak için bir dizi dahili süreç yapılandırmalarını tavsiye ediyor. Herhangi bir siber olayda, özellikle de bu ilk önemli ihlal ise, ne olduğunu hemen bilemezsiniz. Düzenleyicilere doğru bilgi sağlamak için, küresel şirketlerin siber sigorta şirketleri ile işbirliği yaparak düzenleyici raporlama zaman dilimlerindeki farklılıkları olay müdahale planlarına dahil etmeleri önemlidir. Birçok siber sigorta lideri, kuruluşun dört günlük raporlama takviminde önemli bilgileri açıklayacağı süreçleri dikkatli bir şekilde belirlemenin ve daha sonra sistemleştirmenin değerini vurguluyor. Bu süreçlerin belgelenmesi, siber olay müdahale planına dahil edilmesi ve daha sonra bu tür zaman çizelgelerinin mevcut olduğu operasyon bölgelerinde düzenli olarak test edilmesi son derece önemlidir. Şirketler genellikle duruma bütünsel olarak bakamayacak kadar olay müdahale planlarını oluşturmaya çok fazla dahil oluyorlar. Siber sigortacılar, engin deneyimlerine dayanarak, farklı açıklama son tarihlerine ve diğer uyumluluk zorunluluklarına yanıt vermek için gereken kritik süreçleri dikkate alan bir plan geliştirmek üzere şirketlerle ortaklık kurabilir.
Dünyanın dört bir yanındaki şirketler, ilk siber güvenlik teklifini analiz etmekten, kuralın karmaşık uyumluluk yükümlülüklerine göre hareket etmeye geçerken, işletmelerin nihai hedefi, risklerini kapsayan kapsamlı, açıkça ifade edilmiş, yenilenmiş ve test edilmiş bir siber olay müdahale planı kullanmak olmalıdır. yeni düzenlemeye yeterince uyuyor.