De Amerikaanse beurswaakhond SEC heeft nieuwe regels aangenomen waardoor bedrijven verplicht zijn om cyberincidenten en datalekken binnen vier dagen te melden. Tevens moet jaarlijks informatie worden verstrekt over risicomanagement, strategie en governance betreffende cybersecurity. De meldplicht gaat alleen gelden voor cyberincidenten en datalekken die "aanmerkelijke gevolgen" hebben.
"Of een bedrijf nu een fabriek door brand verliest, of miljoenen bestanden in een cyberincident, het kan relevant zijn voor investeerders", zegt SEC-voorzitter Gary Gensler. Hij merkt op dat veel bedrijven cyberincidenten al aan hun investeerders melden. "Ik denk dat bedrijven en investeerders er echter van zouden profiteren als meldingen worden gedaan op een meer consistente, vergelijkbare en zinnige manier voor de besluitvorming."
Als onderdeel van de regels moeten getroffen bedrijven de aard, omvang en tijd van het incident vermelden, alsmede de gevolgen of te verwachten gevolgen. De melding mag worden uitgesteld als de Amerikaanse minister van Justitie bepaalt dat dit een substantieel risico voor de nationale of openbare veiligheid vormt. Volgens de SEC zal de meldplicht investeerders helpen, omdat die nu beter kunnen beoordelen hoe een bedrijf met cybersecurity omgaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.