Editörün notu: Aşağıda Haynes Boone’un avukatı ve Naxo’nun kurucu ortakları Chris Tarbell ve Dave Franzel’den Greg Van Houten’in konuk makalesi yer almaktadır.
Menkul Kıymetler ve Borsa Komisyonu Yeni siber güvenlik açıklama kuralları 18 Aralık’ta yürürlüğe girecek ve bu tarihten itibaren halka açık şirketlerin, olayın “önemli” olduğunun belirlenmesinden sonraki dört iş günü içinde maddi siber olayları açıklaması gerekiyor.
Şirketler ayrıca yıllık Form 10-K aracılığıyla siber güvenlik stratejileri, risk yönetimi ve yönetişim uygulamalarına ilişkin bilgileri de açıklamak zorunda kalacak.
Bu açıklamaların kamuya açık olması, SEC’in siber yaptırım eylemlerine artan odaklanması ve siber olaylarla ilgili aktif hissedar dava ortamı göz önüne alındığında, şirket liderliğinin riski azaltmak ve SEC’in talimatlarının uygulanmasına hazırlanmak için şimdi adımlar atması kritik önem taşıyor. yeni kurallar.
Şirket yetkililerinin endişelenmesi gerekenler, denetledikleri şeye göre değişebilir. Yeni kuralların öncesinde yönetim kurulu, şirket ofisleri ve risk yöneticileri için siber konularla ilgili temel konuları burada bulabilirsiniz.
Yönetim kurulu üyelerine yönelik hususlar
Siberi yönetim kurulu seviyesine yükseltin
Yönetim kurullarının bir kuruluşun siber risk duruşu hakkında iyi bilgilendirilmesi gerekir. İyi seçilmiş siber gösterge tablolarına odaklanan düzenli güncellemeler, ilgi çekici ve bilgilendirici materyal sağlamanın mükemmel yoludur.
Şirket içi veya üçüncü taraf siber güvenlik uzmanları bu güncellemeleri yönlendirmeli ve teknik olmayan yönetim kurulu üyeleri için karmaşık teknik kavramları sentezleyebilmelidir.
Gelecekteki kurul eklemelerini değerlendirirken siber deneyime öncelik verin
Yönetim kurulunda siber riski bağımsız olarak değerlendirebilecek kişilerin bulunması, siber güvenliğe ilişkin karar alma kalitesini artıracaktır.
SEC’in yeni kuralları aynı zamanda yönetim kurulu düzeyindeki siber güvenlik uzmanlığının açıklanmasını da gerektiriyor ve yönetim kurulu düzeyindeki uzmanlık eksikliği SEC ve/veya hissedarlar tarafından incelenebilir.
Yeni ifşa kurallarına uyun
Şirketler en azından Form 10-K’larında “yönetim kurulunun siber güvenlik tehditlerinden kaynaklanan risklere ilişkin gözetimini” açıklamalıdır.
Mümkünse, aynı zamanda bu tür bir gözetimden sorumlu olan herhangi bir yönetim kurulu komitesini veya alt komitesini tanımlamalı ve yönetim kurulunun veya söz konusu komitenin bu tür riskler hakkında bilgilendirildiği süreçleri açıklamalıdır.
Şirket yetkilileri için dikkat edilmesi gerekenler
Bir planın olsun
Bir siber olay tespit edilmeden önce kimin aranması gerektiğini bilin.
Cevap vermede kim öncülük ediyor? Getirilmesi gerekebilecek hukuk firmaları, adli tıp personeli, halkla ilişkiler, fidye müzakerecileri ve kriz yönetimi uzmanları kimlerdir? Kritik kararlar nasıl alınır ve her bireyin sorumlulukları nelerdir?
Bütün bunlar ve daha fazlası bir olay müdahale planında açıkça belgelenmelidir.
Planı test edin
Bir olay müdahale planını ilk kez gözden geçirmeniz kritik öneme sahiptir. Olumsuz gerçek bir olay üzerine Masa üstü tatbikatlar, olay müdahale planlarını test etmenin en yaygın yollarından biridir ve aynı zamanda kurumsal liderlik arasında siber tehdit ortamına ilişkin farkındalığı artırmanın da harika bir yolu olabilir.
Masaüstü tatbikatları genellikle üçüncü bir tarafın etkili bir olayı simüle etmesini ve kuruluşun olay müdahale planı aracılığıyla yönetime koçluk yapmasını içerir.
Planı yineleyin
Olay müdahale planları, siber tehdit ortamı, düzenleyici gereklilikler ve kurumsal yönetimdeki değişikliklerle birlikte gelişmelidir. Olay müdahale planlarının düzenli olarak güncellenmesinin yanı sıra olay sonrası otopsilere, yeni açıklama kurallarına ve organizasyon yapısındaki büyük değişikliklere yanıt olarak da güncellenmesi önemlidir.
Risk yöneticileri için dikkat edilmesi gerekenler
Şirketin siber sigorta uygulamasının Form 10-K siber beyanlarıyla uyumlu olmasını sağlayın
Siber sigortacılar, poliçe sahibinin başvurusunun SEC 10-K açıklamalarından farklı olması durumunda, başvurunun yanlış beyanlar içermesi nedeniyle teminatı reddedebilir veya poliçeyi geçersiz kılabilir.
Şirketlerin siber sigorta uygulamaları ve açıklamalar arasında uyum sağlaması kritik önem taşıyor.
Sigortacıların sunduğu önleyici siber hizmetlerden yararlanın
Birçok sigorta şirketi, primin bir parçası olarak siber güvenlik açığı uyarı sistemine erişim veya ücretsiz siber risk değerlendirmeleri gibi önleyici siber hizmetler sunmaktadır.
Bilgili risk yöneticileri, bir taşıyıcı seçerken bu hizmetleri göz önünde bulundurur ve daha sonra, olay müdahale planı sürecinin bir parçası olarak veya başka bir şekilde, poliçe yerleştirildikten sonra bu hizmetlerden ücretsiz olarak yararlanır.
Politikanızdaki herhangi bir “savaş hariç tutmanın” kapsamını müzakere edin
Günümüzün siber sigorta pazarında savaş istisnaları daha az yaygın hale geliyor, ancak bazı sigorta şirketleri ihlalin “şu bir hareketten” kaynaklandığı varsayımıyla siber iddiaların kapsamını reddettiği için risk yöneticileri poliçe tekliflerinde bu tür istisnaların görünüp görünmediğini dikkatli bir şekilde değerlendirmelidir. savaş.”
Politika tekliflerinde bu tür istisnalar bulunursa, risk yöneticileri bunların kaldırılması veya kapsamlarının daraltılması için müzakere yapmayı düşünmelidir.
Önemli siber olay tedarikçilerinin sigortacınızdan onayını alın
Şirketler, ana siber olay tedarikçilerinin (hukuk danışmanı, BT adli tıp, halkla ilişkiler, kriz müdahale ekipleri ve diğerleri) siber politikalarının onaylanması yoluyla siber sigorta şirketleri tarafından önceden onaylanmasını sağlamalıdır.
Bunu yapmak, şirketin sigorta şirketinin önemli bir tedarikçiyi tutmayı onaylayıp onaylamayacağına değil, bir siber olaya hızlı bir şekilde müdahale etmeye odaklanmasına olanak tanıyacak.
Menkul kıymetler veya hissedar talepleri için sigortadaki boşlukları belirleyin ve doldurun
SEC’in yeni açıklama kuralları, menkul kıymetler ve hissedar türev taleplerinde artışa neden olabilir ve bu nedenle risk yöneticileri, yöneticiler ve yetkililer arasında boşluk kalmamasını sağlayacak adımlar atmalı ve bu tür iddialara yönelik siber politikalar uygulamalıdır.
Şirketin yöneticileri ve görevlilerinin politikasında geniş bir siber tabanlı dışlama varsa boşlukların oluşması muhtemeldir. Böyle bir hariç tutmayla, siber politikanın menkul kıymetler kanunlarıyla ilgili ihlalleri kapsamaması halinde, menkul kıymet iddiaları için bir boşluk oluşabilir.
Ayrıca, siber politikanın, hissedarların “sigortalı” olduğu ölçüde, sigortalıya karşı sigortalıya karşı geniş bir hariç tutması varsa, hissedar türev davalarında da boşluk oluşabilir.
Sigortacınızı siber olaylara müdahale ekibinize katmayı düşünün
Çoğu siber politika, poliçe sahiplerinin sigorta şirketinin yazılı izni olmadan sorumluluk kabul etmesini veya üstlenmesini yasaklar.
SEC’in yeni ifşa kurallarına göre şirketlerin, bir siber olaydan sonra 8-K ifşası yapmak için çabalaması gerekiyor; Bu açıklamalar, sorumluluğun kabulü veya varsayımı olarak yorumlanabilecek ifadeler içerebileceğinden, siber sigortacınızı 8-K açıklamanıza katmak ve onun onayını almak akıllıca olabilir.