Amerikaanse beleggingswaakhond SEC legt boetes op vanwege onjuiste melding datalekken

In alle gevallen wisten ten minste enkele werknemers van het bedrijf de ware omvang van de inbreuk, maar werden die details niet doorgegeven aan de teams die verantwoordelijk waren voor het samenstellen van de verplichte kwartaal reportages aan de SEC. Dat meldt een amerikaans cybersecuritybedrijf.

Niet gemeld aan SEC
Door schendingen niet te melden, kunnen beleggers en investeerders een verkeerd beeld krijgen van de cyberbeveiligingsrisico’s van het bedrijf. Volgens de SEC kan dat zijn omdat de ernst van het incident wordt onderschat of het incident werd als een hypothetische dreiging beschreven in plaats van een incident dat werkelijk had plaats gevonden.

Oplopende boetes
De geldboetes die door de SEC aan overtredende bedrijven zijn opgelegd, zijn de laatste jaren opgelopen van 488.000 dollar in 2021 tot 3 miljoen dollar in april van dit jaar. Verwacht wordt dat de boete-inkomsten verder zullen toenemen, aangezien de SEC later dit jaar waarschijnlijk nog strengere regels zal vaststellen voor cyberbeveiligingsincidenten.

Onbekendheid en onwetendheid
Effectenwetgeving in de VS vereist dat in financiële overzichten alle belangrijke kwesties en risico’s aan beleggers worden bekendgemaakt. Toch kan het om verschillende redenen lastig zijn om controles en procedures op te zetten voor niet-financiële kwesties – waaronder datalekken, ransomware-aanvallen of andere cyberbeveiligingsgebeurtenissen.

1. Ten eerste zijn cybersecurity-teams niet zo vertrouwd met openbaarmakingsverplichtingen in vergelijking met de corporate finance-teams.
2. Ten tweede zijn de controles op de financiële verslaglegging over het algemeen beter ontwikkeld en uniformer dan de controles op cyberbeveiliging.
3. Tot slot blijkt dat de praktijk van de cyberbeveiliging voortdurend evolueert en zelfs van bedrijf tot bedrijf kan verschillen, zelfs tussen bedrijven van dezelfde grootte of uit dezelfde sector. Zo kan het gebeuren dat IT-teams een inbreuk ontdekken en niet weten dat ze die in de hiërarchie moeten melden, of dat ze de inbreuk wel melden, er vervolgens meer informatie over ontdekken maar die nieuwe details niet melden omdat ze denken dat ze hun plicht al hebben gedaan.

Nederlandse bedrijven in VS
Het is onduidelijk welke bedrijven te maken hebben gehad met een schending van de cybersecurity. Uit meest recente cijfers van het CBS blijkt dat 143 Nederlandse ondernemingen in de VS gevestigd zijn die in totaal 1.265 individuele bedrijven aan sturen. Dat betekent dat bijna 4 % van alle buitenlandse bedrijven in Amerika een Nederlands moederbedrijf hebben. Volgens experts biedt de Amerikaanse wet- en regelgeving mogelijkheden om bestuurders van buitenlandse bedrijven juridisch verantwoordelijk te stellen in het geval van een datalek of schending van cyberbeveiliging.