Dalış Özeti:
-
ABD Ticaret Odası, Menkul Kıymetler ve Borsa Komisyonu’nu yeni siber güvenlik kurallarının yürürlük tarihini bir yıl ertelemeye çağırdı ve aksi takdirde düzenleyici hareketin şirketler için “ciddi sonuçları” olabileceğini söyledi.
-
5 Eylül’de yürürlüğe girmesi planlanan kurallara göre halka açık şirketlerin, bir olayın gerçekten önemli olduğunu tespit eden “önemli siber güvenlik olaylarını” dört gün içinde SEC’e bildirmesi gerekecek. İş lobisi grubunun üst düzey liderlerinden ikisinin Pazartesi günü SEC Başkanı Gary Gensler’e yazdığı bir mektupta, diğer sorunların yanı sıra, kuralların “belirsiz ve uygulanamaz” prosedürler yarattığını ve aynı zamanda kilit ulusal güvenlik sorularını çözümsüz bıraktığını söyledi.
-
Oda’nın Sermaye Piyasaları Merkezi kıdemli başkan yardımcısı Tom Quaadman ve Christopher Roberti, “SEC, doğruluğu yerine hızı seçti, ulus devlet aktörlerinin rolünü görmezden geldi ve işletmeleri ifşa ile ulusal güvenlik arasında seçim yapmaya zorluyor” diye yazdı. grubun siber, istihbarat ve tedarik zinciri güvenlik politikasından sorumlu kıdemli başkan yardımcısı. Mektupta, odanın endişelerinin birçoğunun “SEC tarafından on yıllardır kullanılan yuvarlak masa toplantıları ve daha kapsamlı yorum dönemleri gibi tarihi müzakere süreçleri” yoluyla ele alınabileceği belirtiliyordu.
Dalış Bilgisi:
Daha önce, hukuk firması Wilmerhale tarafından Cuma günü yayınlanan bir müşteri uyarısına göre, SEC raporlarındaki siber güvenlik riski ve olay açıklamaları, öncelikle 2011’de yayınlanan kurum personeli kılavuzu ve 2018’de yayınlanan komisyon düzeyindeki kılavuz tarafından bilgilendiriliyordu.
Uyarıda, “Yeni kurallar, halka açık şirketlerin siber olayları ve siber güvenlik gözetimleriyle ilgili konuları ifşa etme şeklini önemli ölçüde etkileyecek” dedi.
Firma, yeni kurallar kapsamındaki uygulama tarihlerinin “son derece sıkı” olduğunu söyledi. Genel olarak, daha küçük bildirimde bulunan işletmeler dışındaki kapsanan kuruluşların 18 Aralık’tan itibaren yeni ihlal açıklama gerekliliklerine uyması gerekecektir. Daha küçük raporlama yapan şirketler, gelecek yıl 5 Haziran’dan itibaren bu yükümlülüklere tabi olacaktır.
Kurallara göre, Adalet Bakanlığı olayın ulusal güvenlik veya kamu güvenliği için önemli bir risk oluşturduğunu tespit ederse, ihlal bildirimleri ertelenebilir.
Quaadman ve Roberti mektuplarında, “Yine de kural, bazı yorumcuların Adalet Bakanlığı’nın (DOJ) bu kararı vermesiyle ilgili çekincelerini ele almıyor” dedi. “Tek tek şirketleri veya sektörler genelindeki şirket gruplarını etkileyebilecek önemli siber olayları çevreleyen zamanlamayı, kapsamı ve koşulları tahmin etmek imkansız.”
Diğer federal kurumların tipik olarak büyük siber olaylar söz konusu olduğunda başı çektiği göz önüne alındığında, DOJ’un bir ifşanın ulusal güvenlik riski oluşturup oluşturmadığını belirlemek için en iyi konumda olmayabileceğini de eklediler.
“SEC, yeterli gerekçe göstermeden kabul eden sürümdeki bu endişeleri reddetti veya görmezden geldi” diye yazdılar.
Oda, 12 aylık bir uygulama erteleme talebinde bulunmanın yanı sıra, SEC’i, “öngörülen ve öngörülemeyen olumsuz sonuçları” belirlemek için baş hukuk müşaviri, baş bilgi görevlileri, yatırımcılar ve diğer paydaşlarla bir yuvarlak masa toplantısı düzenlemek de dahil olmak üzere birkaç adım daha atmaya çağırdı. tüzük; kurumun siber olaya ilişkin “geniş” tanımının açıklığa kavuşturulması; ve gecikmeli raporlama konusunda DOJ ile kılavuzlar geliştirmek.
SEC sözcüsü, yorum talebine hemen yanıt vermedi.
Quaadman bir röportajda, odanın mektupta dile getirilen endişelerin göz ardı edilmesi halinde takip edebileceği diğer seçenekleri değerlendirdiğini söyledi. “Bizim işimiz doğru sonuca ulaşmak. Dava bir olasılıktır, ancak her zaman son çaredir” dedi ve odanın SEC’i mahkemeye ilk kez götürmeyeceğini de sözlerine ekledi.
Mayıs ayında oda, halka açık şirketlerin hisse geri alımları hakkında daha fazla ayrıntı vermesini gerektiren yeni kuralları kabul ettikten sonra komisyona dava açtı.
Başkan Joe Biden yönetimindeki SEC, çok çeşitli konu alanlarına dokunan telaşlı kural koyma faaliyetlerinin ortasında iş dünyası ve kongredeki Cumhuriyetçilerle giderek daha fazla anlaşmazlığa düşüyor. Listede siber güvenlik ve hisse senedi geri alımlarının yanı sıra iklim değişikliği, kurumsal yönetim kurulu çeşitliliği ve dijital varlık ticaret platformları da yer aldı.
R-NC’den House Finansal Hizmetler Komitesi Patrick McHenry, panel tarafından Nisan ayında toplanan bir SEC gözetim duruşması sırasında, “Son iki yılda komisyon, son derece hızlı bir şekilde 53 yeni kural önerdi,” dedi. “Bu, kural koyma sürecinin aceleye getirilerek menkul kıymetler yasalarımızın kalitesini baltaladığına ve istenmeyen olumsuz sonuçlara yol açtığına dair ciddi endişeler doğuruyor.”
Komisyonun siber güvenlik kuralları, 2022’de önerilen bir paketle ilgili kamuoyu yorumlarının ardından geçen ay parti hattında 3-2 oyla kabul edildi.
Maddi siber güvenlik olaylarının açıklanmasını zorunlu kılmanın yanı sıra 8-K formundanihai kurallar ayrıca halka açık şirketlerin yönetim kurullarının siber güvenlik risklerine ilişkin gözetimini 10-K formunda açıklamalarını gerektirir.
Nihai kurallar, siber güvenlikle ilgili herhangi bir kurul uzmanlığının ifşa edilmesini gerektirecek bir hüküm de dahil olmak üzere, önerilen bazı tartışmalı hükümleri kaldırdı.
Quaadman ve Roberti mektuplarında, “Meclis, Mart 2022 teklifinde yapılan bazı değişiklikleri takdir etse de, SEC, Oda ve diğerleri tarafından gündeme getirilen önemli konuları önemsemiyor” dedi.