SEC Cybersecurity Disclosure: Vereisten en Implicaties

De vier essentiële rapportagevereisten zijn:

Cybersecurity Incident Disclosure

Deze wijziging vereist rapportage van elk “materieel” cybersecurity-incident aan de SEC. Dit moet worden gerapporteerd op Formulier 8-K binnen vier werkdagen na de “bepaling van materieelheid.” De indiening moet het volgende bevatten:

• Natuur, omvang en timing van het incident

• “redelijk waarschijnlijk” schatting van de materiële impact, inclusief overweging van kwalitatieve en kwantitatieve factoren

Als bepaalde informatie niet beschikbaar is bij de indiening, kan het 8-K de niet-beschikbaarheid bekendmaken en later worden gewijzigd wanneer de informatie beschikbaar is. De regels vereisen geen openbaarmaking van technische details, status van herstel of staat van gegevenscompromittering.

Cybersecurity Risicobeheer en Strategie

Deze wijziging vereist rapportage van enige (of de behoefte aan) beoordeling, identificatie en beheerprocessen voor het omgaan met materiële cybersecuritybedreigingen. Dit moet jaarlijks worden bekendgemaakt op Formulier 10-K (of Formulier 20-F) , en de indiening moet het volgende bevatten:

• Of cybersecurity deel uitmaakt van het algemene risicobeheer systeem van de organisatie

• Of de processen het gebruik van beoordelaars, consultants, auditors of derden voor dergelijke processen omvatten

• Of enige externe risico-evaluatie cybersecurity risicobeoordeling omvat

• Of cybersecuritybedreigingen materieel hebben aangetast of redelijkerwijs waarschijnlijk zijn om de bedrijfsstrategie, operaties of financiële omstandigheden te beïnvloeden‍

Bestuur en Beheer Governance

Deze wijziging vereist rapportage van de governance-structuur zoals deze betrekking heeft op cybersecurityrisico's op Formulier 10-K (of Formulier 20-F) jaarlijks, en de indiening moet het volgende bevatten:

• Details van het toezicht van de raad op cybersecurityrisico's, specifiek de bestuurscommissie of subcommissie verantwoordelijk voor het toezicht en het proces waarbij de raad wordt geïnformeerd over de risico's.

• De rol, expertise en vastgestelde processen van het management bij het beoordelen en beheren van cybersecuritybedreigingen, inclusief details van de relevante ervaringen van leden en commissies, monitoring, detectie, mitigatie en herstel van incidenten, en het proces voor het informeren van de raad van bestuur over dergelijke risico's.

Wanneer worden de vereisten van kracht?

• De vereisten voor materiële incidenten openbaarmaking worden van kracht vanaf 18 december 2023, waarbij kleinere rapporterende bedrijven een uitstel van 180 dagen krijgen (15 juni 2024).

• De Jaarlijkse Risicobeheer, strategie- en governance openbaarmakingen zijn van kracht na 15 december 2023.

Zijn er uitzonderingen?

De enige uitzondering is als de Amerikaanse Procureur-Generaal (de “AG”) bepaalt dat onmiddellijke openbaarmaking een “aanzienlijk risico voor de nationale veiligheid of de openbare veiligheid” met zich meebrengt en de SEC schriftelijk van deze vaststelling op de hoogte stelt. Aanvankelijk kan de openbaarmaking tot 30 dagen worden uitgesteld, zoals gespecificeerd door de AG, en kan met nog een beoordeling van de AG met 30 dagen worden verlengd.