Menkul Kıymetler ve Borsa Komisyonu, önümüzdeki hafta yürürlüğe girecek olan halka açık şirketlere yönelik yeni açıklama ve yönetim kurallarıyla kurumsal siber güvenlik çıtasını yükseltiyor.
Bazıları güvenlik olayları veya aksiliklerde yukarıdan aşağıya sorumluluğu savunduğundan, kurallar karışık tepkiler aldı. Diğerleri ise kuralların zaman zaman şirketleri riske atabilecek büyük bir destek olduğunu söylüyor.
Ancak SEC, daha “zamanında ve güvenilir” siber güvenlik bilgilerine olan yaygın ihtiyacın altını çizdi; çünkü ekonomik faaliyetlerin büyük kısmı elektronik sistemlere bağlı ve bu sistemler bozulursa kademeli etkilere sahip olabilir.
İşletmeler ayrıca “iş kesintisi, gelir kaybı, fidye ödemeleri, iyileştirme maliyetleri, etkilenen taraflara karşı yükümlülükler, siber güvenlik koruma maliyetleri, kayıp varlıklar, dava riskleri ve itibar kaybı” dahil olmak üzere güvenlik olaylarının ve ilgili maliyetlerin sayısında da hızlı bir artış gördü. SEC dedi.
Kurallar, şirketlerin güvenlik açıklamalarını nerede yapacağı ve bunların neleri içermesi gerektiği konusunda tutarlılık sağlamak ve düzene koymak için hareket ediyor. Artık şirketler, farklı düzeylerde ayrıntılara sahip bir dizi form kullanıyor.
Siber Güvenlik Dalışı önümüzdeki haftalarda ve aylarda kurallardan neler beklenebileceğini açıkladı:
Kurallar ne zaman yürürlüğe girecek?
5 Eylül
Şirketlerin neyi açıklaması gerekecek?
Maddi siber güvenlik olayları:
Şirketlerin herhangi bir maddi güvenlik olayını açıklaması ve olayın niteliğini, kapsamını, zamanlamasını ve olası etkisini özetlemesi gerekmektedir. Şirketlerin, bir olayın önemli olduğunu belirledikten sonra Form 8-K, Madde 1.05’i doldurmaları için dört iş günü vardır. Ancak ABD başsavcısı derhal açıklamanın önemli bir ulusal güvenlik veya kamu güvenliği riski oluşturacağını söylerse şirketler açıklamayı erteleyebilir.
SEC ayrıca şirketlerin, daha önce belirlenmemiş veya mevcut olmayan olay bilgilerini ifşa edecek şekilde ilk 8-K başvurularını değiştirmelerini talep ediyor.
Yabancı özel ihraççılar, ABD dışında herhangi bir borsaya veya hissedarlara açıkladıkları veya duyurdukları maddi siber olayları ayrıntılarıyla anlatmak için Form 6-K’yı kullanacak.
Risk yönetimi ve stratejisi:
Şirketlerin, tehditleri nasıl değerlendirip tanımlayacakları da dahil olmak üzere siber tehditleri nasıl yönettiklerini açıklamaları gerekecek. Şirketler için önemli bir unsur, bir siber tehdidin genel mali durumlarını, operasyonlarını veya iş stratejilerini “maddi olarak etkileyip etkilemediğini veya maddi olarak etkileme ihtimalinin makul olup olmadığını” özetlemektir. Bu, Düzenleme S-K Madde 106(b) kapsamına girer.
Yönetim:
Şirketler, yönetim kurulunun siber tehdit risklerini denetleme konusundaki rolünün ana hatlarını çizmeli ve yönetimin siber tehditlerin maddi risklerini nasıl değerlendirip yönettiğini ayrıntılı olarak açıklamalıdır. Bu, Düzenleme S-K Madde 106(c) kapsamına girse de, yabancı özel ihraççılar Form 20-F’yi kullanacaklardır.
SEC ne zaman kuralları uygulamaya başlayacak?
Şirketlerin, 15 Aralık’ta veya sonrasında sona eren mali yıllara ilişkin yıllık raporlarda yönetişim ve risk yönetimi stratejisi açıklamalarını yapmaya başlaması gerekecek.
Şirketlerin olay açıklama gerekliliklerini 18 Aralık’ta karşılamaya başlaması gerekecek. Daha küçük şirketlerin olay açıklama gerekliliklerini yerine getirmesi için 15 Haziran 2024’e kadar süreleri olacak.
‘Maddi’ olay nedir?
SEC, şirketlerin olay açıklamalarını geniş ve kuralcı kurallar koymak yerine işleri için önemli olduğunu belirledikleri konulara odaklamalarını istiyor. Ajans, bir şirketin bir şeyin önemli olup olmadığını belirlemek için niceliksel ve niteliksel sonuçları kullanabileceğini belirtti.
SEC, örneğin bir olayın bir şirketin itibarına, müşterileri ve satıcılarıyla olan ilişkilerine ve rekabet etme yeteneğine zarar verebileceğini ve bunların hepsinin şirketin performansı açısından önemli olabileceğini söyledi.
Esasen, “makul bir yatırımcı”nın bir olayı şirket için önemli sayması durumunda, bu şey maddidir.
SEC, olayın ifşa edilmesinin “maddi” yönünü ve zamanlamasını ele alan, ifşaat için zaman çizelgesinin uzatılmasına yönelik öneriler de dahil olmak üzere çok sayıda yorum aldı. Bazıları, sıkı bir zaman çizelgesinin, olayların ilk bakışta önemli göründüğü, ancak şirketlerin daha sonra olayın önemli olmadığını belirlemesine neden olan “yanlış pozitifler” yaratabileceğinden endişe ediyordu.
Diğerleri, gelirin belirli bir yüzdesini etkileyen olaylar gibi neyin önemli olduğunu belirlemek için daha somut bir tetikleyici istedi.
Geri itmelere rağmen SEC, “yatırımcıların, kayıt yaptıranların işletmelerini maddi olarak etkileyen siber güvenlik olaylarıyla ilgili zamanında, standartlaştırılmış açıklamalara ihtiyaç duyduğuna” inanıyor. SEC, mevcut düzenleyici ortamın tutarlı ve bilgilendirici siber güvenlik olayı açıklaması sunmadığını söyledi.
Ancak ajansın uzlaşması, şirketlerin ifşa etmesi gerekenleri daraltmak ve ulusal güvenlik ve kamu güvenliği riskleri için bir gecikme yaratmaktı.
SEC, şirketlerin planladıkları olaylara müdahaleleri veya güvenlik sistemleri ve potansiyel güvenlik açıkları hakkında spesifik veya teknik bilgileri açıklamalarını talep etmeyecektir.
Peki ya bir şey varsa üçüncü taraf dahil?
SEC’e göre bir olayın belirlenmesi önemliyse sistemin nerede bulunduğu önemli değildir. SEC, “Makul bir yatırımcının, kayıt yaptıran kişinin verilerinin yalnızca üçüncü taraf bir sistemde barındırılması nedeniyle önemli bir ihlalini önemsiz olarak göreceğine inanmıyoruz” dedi.
Bazı durumlarda, üçüncü taraf sistem olayı meydana geldiğinde, hem sağlayıcının hem de müşterilerinin bir açıklama yapması gerekebilir; bu, MOVEit dosya aktarımındaki güvenlik açıkları ve istismarlarla yakın zamanda ortaya çıkan bir senaryodur.
SEC, “Şirketlerin üçüncü taraf sistemlerine yönelik görünürlüğünün azalmış olabileceğini takdir ediyoruz; kayıt yaptıranlar, kendilerine sunulan bilgilere dayanarak açıklama yapmalıdır” dedi.