Hukuk analistleri, Menkul Kıymetler ve Borsa Komisyonu’nun “maddi” siber güvenlik ihlallerinin ifşa edilmesini gerektiren bir kuralı uygulamaya koymasının ilk yılında ortaya çıkan halka açık şirket başvurularının çoğunun belirsiz ve kafa karıştırıcı olduğunu ve yatırımcılar için çok az değer ürettiğini söyledi.
SEC’de kurala Cumhuriyetçi desteğin olmayışının, şu ana kadar uygulandığı şekliyle yararlılığıyla ilgili sorularla birleştiğinde, Başkan seçilen Donald Trump göreve geldikten sonra kuralın iptal edilmesi veya en azından küçültülmesi riskiyle karşı karşıya kaldığını söylediler.
Hunton Andrews Kurth hukuk firmasının ortağı Scott Kimpel bir röportajda, “Yatırımcılara bilgi sağlamayı amaçlayan bir şey olarak bu bir başarısızlıktır” dedi. “Ajansın gelecekte bunu yürürlükten kaldırma zahmetine girip girmeyeceği henüz belli değil.”
Trump, federal hükümette büyük çaplı düzenleme kesintileri yapma sözü verdi.
Aralık ayında, bir iş danışmanı ve kripto para birimi endüstrisi lobicisi olan Paul Atkins’in SEC’in bir sonraki başkanı olarak seçildiğini duyurdu. Onaylanması durumunda Atkins’in, Trump’ın şirketlere düzenleyici yardım sağlama vizyonunu ilerletmesine yardımcı olması bekleniyor.
Ancak Kimpel, SEC’in bir sonraki yönetimde kripto para birimi ve iklim değişikliği de dahil olmak üzere karşı karşıya olduğu bir dizi tartışmalı sorun nedeniyle siber güvenlik kurallarının geri alınmasının öncelik listesinin üst sıralarında yer alıp almayacağı belirsiz.
İhlalin açıklanması ‘dengeleme eylemi’
SEC’in siber güvenlik kuralı, “önemli” bir ihlalin, önemli olduğunun belirlenmesinden sonraki dört iş günü içinde kuruma bildirilmesini gerektirmektedir.
SEC’e göre bunun amacı yatırımcılara zamanında ve “karar verme açısından yararlı” siber güvenlik bilgileri sağlamaktı, ancak Kimpel’e göre şirketler çoğu durumda minimum düzeyde ihlal ayrıntılarını açıkladı.
“Başvuruların herhangi biri size, şirketin bir olay yaşadığı, operasyonlarda geçici bir kesinti olduğu ve bunun düzeltildiği gerçeği dışında olayla ilgili ilginç veya yararlı bir şey söylemiyor” dedi. “Bu, yatırımcılar için maddi veya karar verme açısından yararlı olabilecek türden bir bilgi gibi görünmüyor.”
Benzer görüşler Brown Rudnick hukuk firmasının ortağı Matthew Richardson tarafından da dile getirildi.
CFO Dive’a şunları söyledi: “Oluşturulması gereken bir dengeleme eylemi var ve korkarım ki bunun şu anki yapılma şekli muhtemelen doğru şekilde dengelenmemiş.”
Richardson’a göre siber güvenlik kuralı halka açık şirketleri bir ikilemle karşı karşıya bırakıyor. Yatırımcıların bir ihlalle ilişkili riskleri anlaması gerekirken, şirketlerin de bilgisayar korsanları tarafından kullanılabilecek ayrıntıların ifşa edilmesi olasılığı konusunda endişelenmeleri gerekiyor.
Kimpel’e göre, birçok durumda yetersiz ayrıntı sunmanın yanı sıra, bazı başvurular yatırımcıların kafa karışıklığına da kapı açtı.
İlk açıklamalar arasında Microsoft, HP Enterprise ve Prudential Financial’ın da aralarında bulunduğu şirketlerin, bir ön soruşturmanın ardından önemsiz buldukları bir ihlali bildirdiği durumlar vardı. Bu durum, SEC’in Mayıs ayında, yeni ihlal raporlama kuralının önemsiz olayları kapsamayı amaçlamadığını açıklayan bir kılavuz yayınlamasına neden oldu.
Cumhuriyetçi muhalefet
SEC, bu kuralı geçen yılın yazında daha geniş bir siber güvenlik gereklilikleri paketinin parçası olarak kabul etmişti. Bu, Cumhuriyetçi Komiserler Hester Peirce ve Mark Uyeda’nın karşı çıktığı, komisyonun parti lehine 3-2’lik bir oyuydu.
İhlalin ifşa edilmesi hükmü, kural koymanın en tartışmalı yönleri arasındaydı. Bir bilgi notuna göre, şirketlerin bir olayın önemliliğini “keşfedildikten sonra makul olmayan bir gecikme olmaksızın belirlemeleri ve olayın önemli olduğu tespit edilirse genellikle bu tespitten sonraki dört iş günü içinde Madde 1.05 Form 8-K’yı doldurmaları” gerekiyor.
Kapsamlı paket aynı zamanda kamu şirketlerinin yönetim kurullarının siber güvenlik risklerine ilişkin gözetimini yıllık olarak 10-K formunda açıklamalarını da gerektiriyor.
Siber güvenlik olay yönetimi yazılımı sağlayıcısı BreachRx tarafından yapılan bir analiz, 18 Kasım itibarıyla 47 şirket tarafından toplam 71 8-K ifşa ihlalinin bildirildiğini ortaya çıkardı.
Bulgulara ilişkin bir raporda, “Sonuçlar, başvuru yapılıp yapılmayacağına ve ne zaman başvurulacağına ilişkin kafa karışıklığını ve dikkati ve şirketleri gelecekteki SEC yaptırım eylemlerinden etkili bir şekilde koruyabilecek yeterli bilginin sağlanmamasını ortaya koyuyor” dedi.
Örneklemdeki başvuruların yarısından azı (%48), kuruluşun olay müdahale prosedürlerine ilişkin spesifik bilgiler sağladı. Raporda, geri kalan yüzde 52’nin “yalnızca standart bilgiler” sağladığı belirtildi.
SolarWinds davası
Kurallar yürürlüğe girmeden önce SEC’in siber güvenlik uygulama programı, kurumun rehberliğiyle yönetiliyordu.
Ekim 2023’te açılan yüksek profilli bir davada – kurallar kabul edildikten sonra ancak yürürlüğe girmeden önce – SEC, Austin, Teksas merkezli yazılım sağlayıcısı SolarWinds ve onun bilgi güvenliği sorumlusu Timothy Brown’a, siber güvenliği yanlış tanımlayarak yatırımcıları dolandırdıkları iddiasıyla dava açtı. Aralık 2020’de keşfedilen büyük bir ihlale yol açan şirkette mevcut uygulamalar. Şirket suçlamaları reddetti.
Davanın büyük kısmı Temmuz ayında alınan bir kararla reddedildi. Ancak çekirdek suçlamalar hayatta kaldı.
SEC’in siber güvenlik kuralları henüz herhangi bir yaptırım eylemiyle sonuçlanmadı. Ajans, Ekim ayında, SolarWinds’in 2020 hacklenmesiyle bağlantılı olarak yanıltıcı açıklamalar yaptıkları suçlamaları nedeniyle dört şirketle anlaşmaya vardığını ancak bu durumlarda kuralların geçerli olmadığını duyurmuştu.
Sigorta komisyonculuğu firması Woodruff Sawyer’da kurumsal yönetim ve menkul kıymetler hukuku konusunda uzmanlaşmış bir avukat olan Lenin Lopez, bir e-postada şunları söyledi: “Bu davalara karışan şirketler, yeni siber güvenlik olayı açıklama gereklilikleri yürürlüğe girmeden önce siber güvenlik olayları yaşadı.”
Lopez, kuralların devreye girmesinden bu yana yalnızca bir yıl geçtiği göz önüne alındığında, doğrudan kurallardan kaynaklanan davaların olmamasının şaşırtıcı olmadığını söyledi. Ayrıca ajansın, şirketlerin siber güvenlik olaylarını nasıl açıkladığını en azından yakından izlediği açık. Başvurulara yanıt veren yorum mektupları ve bu yılın başlarında yayınlanan kılavuzları söyledi.
Lopez, “2025’in görünümüne gelince, bazıları siber ifşa kurallarının geri alınacağını veya tamamen yürürlükten kaldırılacağını teorileştiriyor olsa da, bu sonuçlardan herhangi biri zaman alacak ve şirketlerin bu olasılıklar göz önünde bulundurulmadan faaliyet göstermesi en iyisi olacaktır” dedi.
Katten Muchin Rosenman’ın ortaklarından Michael Diver, SEC’in bazı siber güvenlik raporlama yükümlülüklerini gevşetebileceğini ancak toptan bir iptalin olası olmadığını söyledi.
Bir e-postasında, “Siber olayların şirketler için çok fazla risk oluşturması nedeniyle kuralların iptal edilme olasılığı düşük” dedi.