Een van de belangrijkste cyberbeveiligingsgebeurtenissen in de geschiedenis staat op het punt te gebeuren voor de financiële dienstverlening in de vorm van nieuwe wettelijke voorschriften.
De SEC heeft nieuwe cyberbeveiligingsregels voorgesteld die gevolgen zullen hebben voor FS-bedrijven
Nieuwe regels van de Amerikaanse Securities and Exchange Commission (SEC) zullen een aanzienlijke impact hebben op bedrijven die financiële diensten verlenen en kunnen een diepgaand effect hebben op de cyberbeveiligingscultuur zodra ze zijn aangenomen.
Het nieuwe voorstel van de SEC
Het nieuwe SEC-voorstel zal volledige transparantie en aansprakelijkheid op het gebied van cyberbeveiliging verplicht stellen op het hoogste niveau van zakelijk leiderschap, inclusief de raden van bestuur, voor alle beursgenoteerde bedrijven. Het zal bedrijven verplichten significante cyberbeveiligingsgebeurtenissen op hun Form 8-K te melden.
Ze moeten ook het beleid en de praktijken van het bedrijf voor het beheer van cyberbeveiligingsrisico's bekendmaken, evenals hoe het management deelneemt aan de implementatie ervan.
Het proces dat de raad van bestuur van het bedrijf gebruikt om toezicht te houden op cyberbeveiligingsrisico's, evenals de cyberbeveiligingsexpertise van elk bestuurslid, moeten ook worden bekendgemaakt.
Dit voorstel zal een grote bijdrage leveren aan het helpen van cyberbeveiligingsrisico's en -strategie om een gesprek op bestuursniveau te worden - een lang noodzakelijke ontwikkeling. Het zal ook de bedrijfsuitgaven voor cyberbeveiliging helpen verhogen en de vraag naar cyberbeveiligingskennis op bestuursniveau stimuleren. En het zal ook het belang onderstrepen van het opnemen van CISO's in deze gesprekken en beslissingen op bestuursniveau.
In de details duiken
Op 23 maart 2022 heeft de SEC een voorstel gedaan om de openbaarmakingen van openbare bedrijven die moeten voldoen aan de rapportagevereisten van de Securities Exchange Act van 1934, te verbeteren en te standaardiseren. De vereisten hebben betrekking op cyberbeveiligingsrisicobeheer, strategie, governance en melding van incidenten. Materiële cyberbeveiligingsgebeurtenissen zouden moeten worden gemeld, cyberbeveiligingsbeleid en -procedures zouden regelmatig openbaar moeten worden gemaakt en de raad van bestuur zou toezicht moeten houden op cyberbeveiligingsrisico's.
Wanneer een financiële instelling concludeert dat ze een aanzienlijk cyberbeveiligingsincident hebben gehad nadat deze SEC-vereisten van kracht zijn geworden, hebben ze vier werkdagen om dit bekend te maken. Het Form 8-K-rapport - dat bedrijven moeten indienen bij de SEC om belangrijke gebeurtenissen aan te kondigen waarvan aandeelhouders op de hoogte moeten zijn - moet worden gewijzigd als onderdeel van het openbaarmakingsproces. Het nieuwe plan verplicht ook tot de openbaarmaking van een aantal niet eerder gemelde individuele cyberbeveiligingsincidenten die samen ernstige gevolgen hebben.
Uw beleid blootgelegd
Het nieuwe plan voor openbaarmaking van risicobeheer, strategie en governance is zelfs belangrijker dan de paragraaf over het melden van incidenten in het voorstel. Het beleid en de praktijken op het gebied van cyberbeveiligingsrisicobeheer van een overheidsbedrijf zullen via dit deel van het voorstel worden blootgelegd. Bedrijven moeten ook bekendmaken hoe de raad van bestuur toezicht houdt op cyberbeveiligingsrisico's.
Bovendien moeten bedrijven de rol van het uitvoerend management bekendmaken bij het evalueren van cyberbeveiligingsrisico's en het uitvoeren van het beleid en de procedures van het bedrijf. Dit proces is vergelijkbaar met het online plaatsen van de "rapportkaart" van een organisatie voor openbare beoordeling en commentaar.
Volgens de nieuwe verordening moeten bedrijven hun beleid en processen voor het identificeren en beheren van risico's van cyberbeveiligingsaanvallen openbaar maken. Als er geen is, zal de SEC dit noteren en kan dit leiden tot grote gevolgen, zoals boetes en straffen voor niet-naleving. Bedrijven zullen ook moeten aangeven of cyberbeveiliging een onderdeel is van hun bedrijfsstrategie, financiële planning en kapitaaltoewijzing.
Last but not least schrijft de nieuwe verordening voor dat bestuursleden die over cybersecurity-expertise beschikken, dit moeten aangeven in het jaarverslag en enkele volmachtverklaringen. De raad van bestuur moet zowel interne als externe deskundigen op het gebied van cyberbeveiliging (MKB's) hebben. Externe KMO's zouden specialistische kennis moeten leveren en interne KMO's zouden de institutionele kennis moeten leveren.
Cyberbeveiliging: een noodzaak voor leiderschap
De kieren in het pantser van cybersecurity worden door mensen gemaakt. Uw personeel een integraal onderdeel van de oplossing maken, in plaats van het probleem, is de enige manier om met deze realiteit om te gaan. De raad van bestuur staat meestal aan de top van de organisatiestructuur; hier moet de aandacht voor de nieuwe regels beginnen. En ze moeten werknemers voorzien van permanente opleiding en nieuwe technologieën.
Een van de belangrijkste fiduciaire verplichtingen die bestuurders en functionarissen tegenwoordig hebben, is cyberbeveiliging. Het bestuur moet er zeker van zijn dat de richtlijnen en praktijken op het gebied van cyberbeveiliging worden gevolgd. Leiders moeten een risicobewuste cultuur creëren en koesteren in het hele bedrijf, wat een betere besluitvorming mogelijk maakt.
Naleving aan de horizon
Of we het nu beseffen of niet, de financiële dienstverlening is voor ons allemaal essentieel. Het moet worden versterkt en beschermd – en nu, niet later.
In het licht hiervan ontstaan nieuwe regels en naleving is niet vrijblijvend. Bedrijven moeten hun beleid en procedures afstemmen op de SEC en andere internationale regelgevende instanties om de digitale wereld veiliger te maken voor zowel investeerders als consumenten.
Over de auteur:
Michael Brown is field CISO voor financiële dienstverlening bij cyberbeveiligingsbedrijf Fortinet.
Hij is gespecialiseerd in cyberbeveiligingsregelgeving, ESG-impact, SD-WAN, SD-Branch, Zero Trust, elektronische handelsbeveiliging met lage latentie, SASE en multi-cloudoplossingen.
- mier financieel
- BankingTechniek
- blockchain
- blockchain conferentie fintech
- klokkenspel fintech
- coinbase
- vindingrijk
- nakoming
- crypto conferentie fintech
- Cybersecurity
- gegevens Analytics
- digitaal
- Financiële diensten / Finserv
- FinTech
- fintech innovatie
- Fortinet
- Open zee
- PayPal
- Paytech
- betaalmiddel
- Plato
- plato ai
- Plato gegevensintelligentie
- PlatoData
- platogamen
- scheermes betalen
- Rapportage
- Revolut
- Ripple
- risicobeheer
- vierkante fintech
- streep
- tencent fintech
- Xero
- zephyrnet
