Menkul Kıymetler ve Borsa Komisyonu (SEC), yatırımcılara siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olaylar hakkında kapsamlı ve standartlaştırılmış bilgiler sunmayı amaçlayan yeni kuralları benimseyerek halka açık şirketler için siber güvenlik açıklamalarını destekleme konusunda önemli bir adım attı.
Temmuz 2023’te kabul edildi, bu yeni kurallar Uzun bir kural oluşturma ve kamu yorumu sürecinin ardından gelirler ve her zaman mevcut olan siber güvenlik tehditleri tehlikesinin yatırımcıların karar verme sürecini etkileyebileceğinin resmi olarak kabulü olarak hareket ederler.
Önemli noktalar: Bilmeniz gerekenler
İşin özü yeni SEC kuralları şirketlerin hem maddi siber güvenlik olaylarını hem de siber güvenlik risk yönetimi süreçlerini standart bir şekilde ve belirli zaman çizelgelerine göre raporlamalarının zorunlu olmasıdır. Daha spesifik olarak:
Olay açıklamaları
Nihai kural, (1) olayın doğasını, kapsamını ve zamanlamasını ve (2) olayın etkisini veya muhtemel etkisini açıklayan “önemli” siber güvenlik olaylarından sonraki dört gün içinde mevcut raporun (Form 8K veya 6-K’daki Madde 1.05) açıklanmasını gerektirir. Mali ve operasyonel etki de dahil olmak üzere, olayın tescil ettiren üzerindeki etkisi.
Yıllık açıklamalar
Nihai kural, yıllık raporlarda (Form 10-K veya 20-F) (1) tescil ettirenin siber güvenlik risklerini tanımlama, değerlendirme ve yönetme sürecini; (2) siber güvenlik tehditlerinden kaynaklanan risklerin iş operasyonlarını, stratejisini veya finansal koşulları nasıl maddi olarak etkilediği veya maddi olarak etkileme ihtimalinin makul düzeyde olduğu; (3) tescil sahibinin yönetim kurulunun siber güvenlik riskleri üzerindeki gözetimi ve (4) yönetimin siber güvenlik tehditlerinden kaynaklanan riskleri değerlendirme ve yönetmedeki rolü.
SEC, şirketlerin hem maddi siber güvenlik olaylarını hem de siber güvenlik risk yönetimi süreçlerini standart bir şekilde raporlamasını zorunlu kılmaktadır.
Son teslim tarihleri
Nihai kural 5 Eylül 2023’te yürürlüğe girdi. Mali yılları 15 Aralık 2023 ve sonrasında başlayan kayıt sahipleri için yıllık siber güvenlik açıklaması gerekli olacaktır. Madde 1.05’in mevcut rapor açıklama yükümlülüğü, bundan kısa bir süre sonra 18 Aralık 2023’te başlar, ancak daha küçük raporlama şirketlerinin 15 Haziran 2024’e kadar bu süresi vardır. Ayrıca, 15 ve 18 Aralık 2024’ten başlayarak, bu yıllık ve sırasıyla güncel rapor açıklamaları (yani, bu açıklamaların otomatik aranabilirlik ve analize izin verecek şekilde Inline XBRL’de biçimlendirilmesi).
Ayrıntılar: Kurallar ne diyor
Bir olay oldu; neyin açıklanması gerekiyor?
Yeni kurallar, “önemli” olduğu belirlenen siber güvenlik olaylarının (bununla ilgili daha fazla bilgi aşağıdadır) açıklanmasını, ayrıca olayın niteliğinin, kapsamının ve zamanlamasının ve olayın kayıt sahibinin mali durumu ve operasyonları üzerindeki makul olası etkisinin açıklanmasını gerektirir.
Bununla birlikte, taslak kuralın önceki versiyonlarından farklı olarak, tescil ettirenin olaya planladığı müdahale veya siber güvenlik sistemindeki potansiyel açıklara ilişkin spesifik veya teknik bilgilerin ifşa edilmesine gerek yoktur.
Açıklamanın ne kadar sürede yapılması gerekiyor?
Dört iş günü içinde! Kamuya açık bir dosyalamada bir siber güvenlik olayını açıklamak için dört gün süreye sahip olmak zor görünebilir ve öyle de, ancak nihai kuralın parametrelerinde görünenden daha fazla esneklik yer alıyor.
Dört günlük süre ancak kayıt sahibinin “önemli” bir siber güvenlik olayı yaşadığını belirlediği noktada başlar ve bu önemlilik belirlemesinin yalnızca “makul olmayan bir gecikme olmadan” yapılması gerekir.
Standart ne kadar esnek olursa olsun, kayıt yaptıran kişinin raporlamayı geciktirmek amacıyla olay tamamen düzeltilene kadar soruşturmayı uzatmasına izin vermez. Tescil ettiren, 8-K açıklamasını o sırada mevcut olan bilgilerle yapmalı ve daha sonra gerektiği şekilde orijinal açıklamaları Madde 1.05’te yapılacak bir değişiklikle tamamlamalıdır.