La cybersecurity disclosure per il SEC

La cybersecurity disclosure per il SEC

Ritorna la serie sulla cybersecurity disclosure, iniziata con un’introduzione all’e-evidence ideata dal legislatore europeo, che tanto sta facendo scalpore tra i provider di servizi informatici.

Questa volta guardiamo oltremare, con occhio critico ma anche lungimirante, esplorando le buone pratiche legislative. In particolare, guardiamo alle linee guida che la Securities and Exchange Commission (SEC) statunitense ha emesso nel febbraio 2018 per assistere le public companies nella preparazione delle disclosure richieste per legge sui rischi e gli incidenti di cybersecurity. Qui il comunicato stampa.

Proprio sulla base di queste linee guida si è sviluppato il caso di Yahoo! Inc., che è apparsa su tutte le testate nell’Aprile 2018 per aver raggiunto un accordo con il SEC riguardo al pagamento di 35 milioni di dollari, per non aver comunicato al pubblico la violazione dei propri sistemi da parte di entità russe. Queste ultime, infatti, avrebbero sottratto i dati relativi a milioni di profili di utenti i quali, per mesi, ne sono rimasti ignari.

Il collega Chris Ott – sul suo Privacy & Security Law Blog – ha riassunto brillantemente i punti salienti di queste linee guida. Da subito si nota la portata generalista e ampia delle dichiarazioni di compliance, tipiche del sistema statunitense in materia di responsabilità degli enti.

 


 

Controllo del rischio cibernetico e procedure

La responsabilità per lo sviluppo di controlli e procedure relative al rischio cibernetico ricade direttamente sui consiglieri e sul management della società. Anche se queste disclosures non devono essere dettagliate, devono comunque essere prodotte in conformità con le procedure per la disclosure di ogni altro evento materiale. Di conseguenza, devono applicarsi le stesse regole dell’Exchange Act che richiedono la divulgazione dei controlli effettuati e delle procedure in essere relative ai rischi di cybersecurity.

I rischi e gli incidenti informatici sono tanto più rilevanti quanto sono importanti le informazioni violate. Il calcolo dei danni derivanti dalla perdita delle informazioni è determinato dallo studio dei potenziali danni relativi a:

(i) reputazione dell’azienda e performance finanziaria;

(ii) relazioni con clienti e venditori;

(iii) possibilità di contenzioso o investigazioni o azioni regolatorie.

La SEC afferma che, nella divulgazione dei rischi, le imprese dovrebbero descrivere i controlli e le procedure del management e non i dettagli tecnici delle reti della società.

I controlli e le procedure in questione dovrebbero infatti concentrarsi su come le questioni relative alla cybersecurity vengono comunicate al consiglio di amministrazione. La SEC non definisce i contenuti di questi controlli, invece stabilisce che la divulgazione degli incidenti dovrebbe essere adattata alla struttura dell’impresa, al settore industriale, ai rischi e agli incidenti specifici. Le divulgazioni generiche e collettive non sono ritenute sufficienti.

Qualcosa ricorda – forse – il GDPR?

 


 

Disclosure trimestrale e aggiornamenti al pubblico

La SEC si aspetta espressamente che con il procedere delle indagini – siano esse interne o esterne (da parte delle forze dell’ordine) – si acquisiscano informazioni via via crescenti o differenti sull’evento. La SEC, quindi, prevede che l’impresa che subisce un attacco informatico informi i suoi utenti attraverso una disclosure correttiva trimestrale. Il management viene infatti espressamente esortato ad “assicurare anche la raccolta e la valutazione tempestiva delle informazioni potenzialmente soggette a disclosure, o comunque rilevanti al fine di valutare la necessità di rivelare sviluppi e rischi che riguardano le attività dell’azienda”.

 


 

Certo, sembra che le richieste elaborate dalla SEC siano ancora tutte da chiarire. Pochi sono i dettagli tecnici sulle modalità di disclosure consigliate, e qualsiasi implementazione di procedure di disclosure non può che prevedere delle parti fatte “a naso”. La situazione per certi aspetti non è infatti molto diversa dalle problematiche riscontrate quotidianamente in applicazione del GDPR.

L’elemento davvero interessante che emerge, comunque, è la necessità di un programma di aggiornamento trimestrale per la valutazione, il controllo e la disclosure dei rischi informatici.
Come sempre, suggerisco la lettura del testo originale SEC, reperibile QUI.