Vijf grote bankgroepen hebben formeel verzocht de Securities and Exchange Commission (SEC) om hun regel voor de melding van cybersecurity-incidenten in te trekken, met het argument dat de regelgeving de nationale veiligheidsinspanningen ondermijnt en meer problemen veroorzaakt dan het oplost. De American Bankers Association leidde de coalitie in een brief van 22 mei die de basisuitgangspunten van de openbaarmakingsvereisten voor cyberincidenten uitdaagt.
Wat je moet weten:
- Vijf bankgroepen beweren dat de cybersecurity openbaarmakingsregel van de SEC in strijd is met vertrouwelijke rapportage bedoeld om kritieke infrastructuur te beschermen
- De regel vereist snelle publieke openbaarmaking van incidenten zoals datalekken, maar banken zeggen dat dit criminelen van ransomware helpt en reactie-inspanningen schaadt
- Banken coalitie wil dat Item 1.05 wordt ingetrokken uit Formulier 8-K meldingsvereisten die investeerders informeren over cybersecurity-incidenten
Industriecoalitie Richt zich op Kern Openbaarmakingsmechanisme
De coalitie omvat de Securities Industry and Financial Markets Association, Bank Policy Institute, Independent Community Bankers of America en Institute of International Bankers. Deze groepen vertegenwoordigen duizenden financiële instellingen in de Verenigde Staten. Hun petitie richt zich specifiek op "Item 1.05" binnen de SEC's Form 8-K meldingsvereisten.
Formulier 8-K dient als het primaire middel voor het publiekelijk informeren van investeerders over belangrijke gebeurtenissen die invloed hebben op beursgenoteerde bedrijven.
De cybersecuritybepaling vereist dat bedrijven incidenten melden die hun operaties of financiële toestand wezenlijk kunnen beïnvloeden. Bankgroepen beweren dat dit mechanisme meer schade aanricht dan transparantie creëert.
De Cybersecurity Risico Managementregel van de SEC trad in werking na publicatie in juli 2023. Bedrijven moeten nu snel cybersecurity-incidenten melden, inclusief datalekken en systeemcompromitteringen. De regelgeving was bedoeld om investeerders tijdig te informeren over cyberrisico’s die hun investeringen kunnen beïnvloeden.
Banken Nemen Operationele en Veiligheidszorgen in Acht
Vertegenwoordigers van banken beweren dat de openbaarmakingsvereisten rechtstreeks in strijd zijn met bestaande vertrouwelijke rapportagesystemen die zijn ontworpen om kritieke infrastructuur te beschermen. Ze stellen dat vroegtijdige openbare openbaarmakingen incidentresponsprocedures en onderzoeken van wetshandhaving verstoren. De complexe vertraging mechanismen die in de regel zijn ingebouwd, veroorzaken verwarring tussen verplichte en vrijwillige openbaarmakingsverplichtingen.
Ransomware criminelen hebben publieke openbaarmakingsvereisten als chantagemiddel gebruikt, aldus de bankcoalitie. Criminele groepen dreigen nu met het activeren van verplichte openbaarmakingstermijnen om slachtoffers onder druk te zetten losgeld sneller te betalen. Deze ontwikkeling heeft de dynamiek van de respons op cybersecurity-incidenten fundamenteel veranderd.
De groepen uiten ook zorgen over verzekerings- en aansprakelijkheidskwesties.
Vroegtijdige openbaarmakingen compliceren verzekeringsclaims en vergroten de juridische blootstelling voor getroffen bedrijven. Interne communicatie wordt voorzichtiger wanneer werknemers weten dat hun discussies over incidentrespons openbaar kunnen worden.
Marktverwarring is een ander groot punt van zorg voor de banksector. De regel creëert onzekerheid over welke incidenten directe openbaarmaking vereisen versus die welke kunnen worden behandeld door bestaande materiële informatie kaders. Deze verwarring beïnvloedt zowel bedrijven die proberen te voldoen als investeerders die de openbaarmakingen proberen te interpreteren.
Cryptocurrencybedrijven Ervaren Vergelijkbare Druk
Openbaar verhandelde cryptocurrencybedrijven hebben de praktische impact van deze openbaarmakingsvereisten ervaren. Coinbase maakte eerder deze maand openbaar dat hackers supportpersoneel hebben omgekocht om toegang te krijgen tot gebruikersgegevens, wat heeft geleid tot minstens zeven rechtszaken tegen het bedrijf. De beurs weigerde een losgeld van $20 miljoen, maar schat dat het incident wel $400 miljoen aan schade kan kosten.
De zaak van Coinbase illustreert hoe openbaarmakingsvereisten de financiële impact van cybersecurity-incidenten kunnen versterken. Juridische blootstelling vermenigvuldigt zich wanneer bedrijven het publiek onmiddellijk moeten informeren over inbreuken die anders misschien stiller opgelost zouden zijn.
Deze dynamiek treft vooral technologie- en financiële dienstverleners die met gevoelige klantgegevens omgaan.
Als de SEC het verzoek van de bankensector zou honoreren, zouden bedrijven zoals Coinbase meer flexibiliteit krijgen in het tijdstip waarop zij hun openbaarmakingen van cybersecurity-incidenten doen. De huidige rigide tijdslijnen verplichten bedrijven vaak om incidenten openbaar te maken voordat ze de omvang of impact volledig begrijpen.
Alternatieve Kader Voorgesteld door Bankencoalitie
De bankgroepen betogen dat bestaande openbaarmakingskaders al de belangen van investeerders beschermen zonder de specifieke vereisten voor cybersecurity. Bestaande regels voor het rapporteren van materiële informatie zouden doorgaan met het dekken van belangrijke cyberincidenten die de prestaties van het bedrijf of de financiële toestand daadwerkelijk beïnvloeden.
Zij geloven dat deze aanpak zowel investeerders als nationale veiligheidsbelangen beter zou dienen.
De petitie bevat gedocumenteerde voorbeelden van regelgevingsconflicten en verwarring onder deelnemers sinds de implementatie van de regel. Bankgroepen hebben specifieke incidenten verzameld die aantonen hoe de openbaarmakingsvereisten wetshandhavingsonderzoeken en herstelpogingen bij incidenten verstoorden.
Financiële instellingen wijzen ook op hun bestaande wettelijke verplichtingen onder andere federale agentschappen. Banken rapporteren al cybersecurity-incidenten aan financiële toezichthouders via vertrouwelijke kanalen die zijn ontworpen om gevoelige infrastructuurinformatie te beschermen en tegelijkertijd passende toezicht te garanderen.
Afsluitende Gedachten
De uitdaging van de bankensector voor de SEC cybersecurity openbaarmakingsregels weerspiegelt bredere spanningen tussen transparantie en veiligheid in financiële regulatie. Hun petitie stelt dat verplichte openbare openbaarmakingen meer risico's creëren dan voordelen, vooral wanneer criminelen de vereisten uitbuiten voor afpersingsdoeleinden.