ה-SEC מרחיבה את חובת הדיווח בנושא סיכוני סייבר

משטר הגילוי שמחילה רשות ניירות ערך האמריקנית (SEC) כדי להבטיח שהדיווח של חברות הנסחרות בבורסה אכן משקף את הסיכונים ועונה על צרכי המשקיעים הלך והעמיק במרוצת השנים. אשר על כן אך טבעי הוא שהרשות תדרש לתחום הסייבר, שהיקף החשיפה אליו עלתה מאוד בשנים האחרונות. והרי היום יותר מתמיד משקיעים רוצים לדעת על האופן שבו חברות מנהלות את הסיכונים הללו שכאמור היקף החשיפה אליהם הולך וגדל. כבר היום חברות ציבוריות רבות מספקות לציבור המשקעים מידע על חשיפתם להתקפות סייבר, אך היקף חשיפה זו מצומצם יחסית ומתמקד בעיקר בדיווח על אירועי סייבר, בעוד שבפועל נדרשת חשיפה גדולה יותר, שתאפשר למשקיעים להעריך גם את נוהלי אבטחת הסייבר ואת היכולת של החברות לטפל באירועי סייבר. על-רקע הצורך ההולך וגודל זה של משקיעים במידע על ניהול סיכוני סייבר הציגה ב-9.3.2022 רשות ניירות ערך האמריקנית תיקונים שנועדו לשפר ולהרחיב את היקף הגילוי בנוגע לניהול סיכוני סייבר, אסטרטגיה, ממשל ודיווח על אירועים על-ידי חברות ציבוריות¹. כללים אלה מתבססים על הנחיות של ה-SEC משנת 2011²ו-2018³ בנושא סיכונים ותקריות אבטחת סייבר. ברם, בעוד שהנחיות הקודמות הללו שיפרו את הדיווח בנושאים אלה, השינוים בתחום זה והגידול והמגוון הרחב בסוגי אירועי סייבר הניעו את ה-SEC לנקוט בפעולות נוספות ובהם כאמור הרחבת חובת הדיווח. התיקונים המוצעים בכללים שצפוים להכנס לתוקף בנוסחן הסופי בחודש יוני השנה ידרשו מחברות ציבוריות, חובת גילוי, כדלקמן: א. לדווח באופן שוטף על אירועי אבטחת סייבר מהותיים. ב. להגיש לרשות דיווח תקופתי כדי לספק עידכון על אופן שבו החברה מטפלת באירועי סייבר שאירוע בחברה ודווחו בעבר (דוח מעקב). ג. להגיש דיווח תקופתי על המדיניות והנהלים לזיהוי וניהול סיכוני אבטחת סייבר שקבעה הנהלה. ד. להגיש דיווח על האופן שבו הדירקטוריון מפקח על סיכוני סייבר. ה. להגיש דיווח תקופתי על תפקיד ההנהלה ועל המומחיות שלה להעריך ולנהל סיכוני אבטחת סייבר ולקבוע מדיניות ולישם נהלי אבטחת סייבר. ו. חובת הדיוח תכלול גם חובה לחשוף את רמת המומחיות בתחום האבטחת סייבר של חברי הדירקטוריון, כדי לוודא כי יש לדירטוריון יכולת לפקח על החברה בתחום זה. חברות וגופים הנתונים למרות ה-SEC יצטרכו אם כן לנהל סיכוני סייבר ואף להעסיק לצורך כך מומחים. אך מעבר לכך, למרות שה-SEC לא הגדירה מה מהווה מומחיות באבטחת סייבר, כללים אלה קובעים שחברות צריכות, כדי להבטיח פיקוח נאות, לשקול גם את ניסיונם, השכלתם, הידע והכישורים של חברי הדירקטוריון באבטחת סייבר. יש להניח כי לאחר כניסתם של כללים אלה לתוקף יעמוד בפני הציבור מידע מקיף יותר על ניהול הסיכונים, האסטרטגיה והממשל התאגידי של חברות בכל הקשור לאופן שבו הן מנהלות אירועי סייבר. ומעבר לכך, חובה גילוי זו גם תחשוף כיצד והאם חברות ציבוריות פועלות לזהות ולנהל סיכוני סייבר וכי יש להן יכולת לנהל ולקיים פיקוח על אירועים בתחום זה.