Dalış Özeti:
- Üst düzey bir kurum yetkilisi yakın zamanda yaptığı bir açıklamada, Menkul Kıymetler ve Borsa Komisyonu tarafından geçen yıl kabul edilen siber güvenlik ihlali raporlama gerekliliklerinin “önemsiz” olayların gönüllü olarak ifşa edilmesine yönelik olmadığını söyledi.
- Kurallar, halka açık şirketlerin “önemli” bir siber güvenlik olayını, ihlalin önemli olduğunun belirlenmesinden sonraki dört gün içinde Madde 1.05 Form 8-K aracılığıyla SEC’ye raporlamasını gerektiriyor. SEC’in Kurumsal Finansman Bölümü Direktörü Erik Gerding, gönüllü Madde 1.05 başvurularının açıkça yasaklanmamasına rağmen yatırımcıların kafasını karıştırma potansiyeline sahip olduğunu söyledi.
- “[I]Tüm siber güvenlik olayları Madde 1.05 kapsamında açıklanırsa, yatırımcıların önemsiz siber güvenlik olaylarını önemli olarak algılaması veya bunun tersi riski vardır” dedi.
Dalış Bilgisi:
Hukuk firması Wiley Rein LLP tarafından yayınlanan bir blog yazısına göre, Gerding’in açıklaması büyük olasılıkla Kurumsal Finansman Bölümü’nün, SEC’in yeni kuralları kapsamında, kurumun geçen Aralık ayında bunları uygulamaya başlamasından bu yana yaptığı olay açıklamalarıyla ilgili endişesini yansıtıyor.
Blog yazısında, “Kamuya açık başvurulara ilişkin incelememiz, bazı şirketlerin Madde 1.05 kapsamında başvuruda bulunması ve olayın maddi olup olmadığının net olmadığı durumlarda, dosyalayanların bir miktar dikkatli olduğunu gösteriyor” dedi. “Bunun yerine, dosyalayanlar, önemlilik tespiti yapmadan bol miktarda ihtiyatlı bir şekilde başvuruda bulunmaya motive görünüyor.”
SEC kuralları uyarınca şirketlerin şunları belirlemesi gerekiyor: önemlilik “keşfedildikten sonra makul olmayan bir gecikme olmaksızın ve olayın önemli olduğu tespit edilirse, genellikle böyle bir tespitten sonraki dört iş günü içinde Madde 1.05 Form 8-K’yi gönderin.”
Açıklamada olayın niteliği, kapsamı ve zamanlamasının yanı sıra “maddi etkisi veya makul derecede olası maddi etkisi” gibi önemli hususlar da açıklanmalıdır.
Bir şirketin henüz önemlilik tespiti yapmadığı veya önemli olmadığı belirlenen bir ihlali açıklamayı seçmesi durumunda, Kurumsal Finansman Bölümü, şirketi bu olayı Form 8-K’nın farklı bir maddesi kapsamında açıklamaya teşvik eder. Gerding, Madde 8.01 gibi bir şeyin olduğunu söyledi.
“Bu tür gönüllü açıklamaların yatırımcılara, piyasaya ve nihayetinde şirketlere değerinin farkındayım ve bu açıklamanın amacı şirketleri bu açıklamaları yapmaktan caydırmak değil” dedi. “Daha ziyade, bu beyan, bu tür gönüllü açıklamaların, yatırımcıların kafa karışıklığına neden olmayacak veya maddi siber güvenlik olaylarıyla ilgili Madde 1.05 açıklamalarının değerini azaltmayacak şekilde yapılmasını teşvik etmeyi amaçlamaktadır.”
Bir şirketin Madde 8.01 kapsamında önemsiz bir olayı açıklaması ve daha sonra olayın önemli olduğunu belirlemesi durumunda, açıklamaya göre, söz konusu müteakip önemlilik tespitinden sonraki dört iş günü içinde Madde 1.05 Form 8-K’yi sunması gerekir.
18 Aralık itibarıyla, daha küçük raporlama yapan işletmeler dışındaki kapsam dahilindeki tüm kuruluşların, yeni ihlal açıklama talimatlarına uyması gerekiyordu. Daha küçük raporlama şirketleri 5 Haziran’dan itibaren bunlara tabi olacak.
Ocak ayında Microsoft, Madde 1.05 Form 8-K dosyasında “ulus devlet bağlantılı bir tehdit aktörünün”, şirketin üst düzey liderlik ekibinin üyeleri de dahil olmak üzere çalışanların e-posta hesaplarının “çok küçük bir yüzdesine” erişim sağladığını ve bu hesaplardan bilgi sızdırdığını açıklamıştı. ve siber güvenlik, hukuk ve diğer işlevlerdeki çalışanlar.
Washington merkezli teknoloji devi Redmond, açıklamada “Bu başvurunun yapıldığı tarih itibarıyla olayın Şirketin operasyonları üzerinde önemli bir etkisi olmadı” dedi. “Şirket, olayın Şirketin mali durumunu veya faaliyet sonuçlarını önemli ölçüde etkileme ihtimalinin makul olup olmadığını henüz belirlemedi.”
HP Enterprise ve Prudential Financial, yeni siber güvenlik kuralları kapsamında SEC’ye sunulan ihlal bildirimlerinde benzer dil kullanan şirketler arasında yer alıyor.
Wall Street Journal’ın Ocak ayında bildirdiğine göre, Microsoft, şirketin soruşturmasında – düzenleyici makamlara başvurduğu tarih itibariyle – kurumun maddi etki eşiğini karşılayan sonuçları ortaya çıkarmamasına rağmen ihlalini SEC’e bildirdi. Journal raporuna göre şirket, “Ancak yasa çok yeni olduğu için yasanın ruhuna saygı gösterdiğimizden emin olmak istedik” dedi.