Overwegingen op het gebied van milieu, maatschappij en governance (ESG) zijn nauwelijks nieuwe onderwerpen als het gaat om compliance-rapportage voor financiële dienstverleners, maar de impact van cyberbeveiligingsinbreuken op de governance-component zal binnenkort een veel groter aanzien krijgen voor zowel financiële als niet-financiële organisaties . Of het nu gaat om het aanpakken van privacykwesties, de financiële verliezen van ransomware of bedrijfscontinuïteit vanuit een governanceperspectief, cyberdreigingen plaatsen ESG-discussies op de voorgrond van bestuursvergaderingen en C-suite-discussies over de hele wereld.
De rapportageveranderingen waarmee Amerikaanse bedrijven worden geconfronteerd, kunnen aanzienlijk toenemen als gevolg van recente regelwijzigingen van de voorzitter van de Securities and Exchange Commission, Gary Gensler. Rapportagevereisten voor cyberbeveiliging die vergelijkbaar zijn met die voor audits en financiële rapportage in de Sarbanes-Oxley Act van 2002 (SOX) zouden een belangrijk onderdeel van de nieuwe regelgeving zijn.
SOX-governancevereisten zijn gericht op het helpen beschermen van investeerders tegen frauduleuze financiële rapportage door bedrijven, terwijl cybersecuritygovernance is ontworpen om de rapportage over nieuwe en eerdere cyberinbreuken te verbeteren. Bestaande beleidslijnen en procedures voor corporate governance, risico en naleving (GRC) zijn niet voldoende om deze regels aan te pakken.
Alla Valente, senior analist bij Forrester, omschrijft de voorgestelde wijzigingen in de SEC-regelgeving als "Sarbanes-Oxley light". De voorgestelde regels stellen dat bedrijven moeten rapporteren materiaal cybersecurity-incidenten binnen vier dagen na identificatie, merkt ze op. Het probleem is dat 'materiaal' niet is gedefinieerd en per branche verschilt, dus bedrijven moeten gissen wanneer de klok begint met het melden van incidenten. Dit kan leiden tot zowel overrapportage als onderrapportage van cyberincidenten, zegt ze.
Druk stimuleert cyberbeveiligingsmaatregelen
Het naleven van de voorgestelde regels kan ook een directe impact hebben op het vermogen van een onderneming om een cyberverzekering af te sluiten, merkt Valente op. Ondanks de stroming chaos op de cyberverzekeringsmarkt waardoor de prijzen omhoog gaan en de dekking omlaag, terwijl cyberverzekeraars de voorraden verminderen, kunnen deze regelwijzigingen de druk op bedrijven mogelijk verder vergroten om cyberbeveiligingscontroles uit te voeren die ze anders op dit moment misschien niet hadden ingesteld. Er zou ook veel meer informatie nodig zijn over inbreuken in het verleden en hoe deze worden beheerd en beperkt.
"De nieuwe rol van het management op het gebied van rapportage en cybergovernance, en de nieuwe verantwoordelijkheid van de raden van bestuur om licht te werpen op hun expertise en toezicht, zullen zorgen voor extra toezicht op de beveiligingsprogramma's van ondernemingen", zegt Jason Hicks, field CISO bij het adviesbureau voor cyberbeveiliging Coalfire.
"Dit zet de CISO op de hot seat", vervolgt hij. “Het zal waarschijnlijk ook besturen ertoe aanzetten om leidinggevenden met ervaring op het gebied van cyberbeveiliging aan hun team toe te voegen. Gezien het kleine aantal gekwalificeerde mensen dat beschikbaar is, zag ik ook dat besturen hun eigen consultants inhuren om hen te adviseren over cyberbeveiligingsrisico's en de geschiktheid van het beveiligingsprogramma van het bedrijf.
"Al deze gebieden moeten worden meegenomen in het governance-gedeelte van uw ESG-aanpak", voegt Hicks toe. "Management is al verantwoordelijk voor het beheer van cyberbeveiligingsrisico's, dus dit creëert geen geheel nieuwe klasse van verantwoordelijkheid, hoewel het verschillende wijzigingen aanbrengt in de last en complexiteit."
Transnationalisten nemen initiatief
Hicks merkt op dat de manier waarop organisaties naar transparantie kijken en de culturele normen van de bedrijfsomgevingen van een bedrijf van invloed kunnen zijn op hoe ze reageren. "De multinationals moeten hun aanpak in evenwicht houden gezien de verschillende benaderingen wereldwijd."
Valent is het daarmee eens. Europeanen zijn doorgaans proactiever in de verdediging tegen datalekken dan Amerikaanse bedrijven. De wijziging van de regels zou binnenlandse organisaties kunnen dwingen proactiever te zijn, vooral als het gaat om risicobeheer door derden, een belangrijke beveiligingscontrole.
“Zodra dit definitief wordt, zullen we een poging zien om proactief te zijn. Sommige [organisaties] zullen de letter van de wet volgen en kunnen op korte termijn succesvol zijn, maar marginaal”, zegt Valente. “Anderen zullen de geest van de wet volgen en dat gebruiken als een middel om te verbeteren, te diversifiëren en dat proactieve [derde partij] risicobeheer onderdeel te maken van wie ze zijn. Het zit ingebakken in hun bedrijfs-DNA. Dat zijn de organisaties die hier echt van gaan gedijen.”
Bedrijven kunnen aan de slag
Steven Yadegari, CEO van investeringsadviesbureau FiSolve en voormalig algemeen adviseur bij advocatenkantoor Cramer Rosenthal McGlynn, zegt dat bestuursleden zullen zoeken naar specifieke rapportage over cyberbeveiliging. Dit omvat driemaandelijkse rapporten gericht op cyberbeveiliging en ontmoetingen met personen die belast zijn met toezicht op het gebied, zoals de CISO, die de inspanning leidt.
“De nieuwe regels vereisen formele risicobeoordelingen, specifieke controles, monitoringmaatregelen en een rapportagesysteem van incidenten. Voor zover sommige van deze gebieden niet worden behandeld in bestaande programma's, zullen besturen willen begrijpen hoe managers van plan zijn aan deze potentiële vereisten te voldoen. Die gesprekken moeten aan de gang zijn en mogen niet wachten op de goedkeuring van nieuwe regels”, zegt Yadegari.
Veel bedrijven beheren tegenwoordig hun leveranciers zorgvuldiger en houden toezicht op hun beleid en procedures, merkt hij op. Dit geldt met name voor externe serviceproviders en leveranciers die mogelijk in contact komen met gevoelige informatie van een onderneming.
"Het betaamt bedrijven om ervoor te zorgen dat ze een robuust programma voor cyberbeveiliging en een programma voor risicobeheer van derden (TPRM) hebben, wat op zijn beurt comfort zal bieden aan bedrijven die op hun diensten vertrouwen", zegt Yadegari.
Hoewel de definitieve taal van de voorgestelde wijzigingen in de SEC-regel nog niet openbaar is gemaakt, kan de voorgestelde taal worden gevonden hier.
