De Amerikaanse beurswaakhond SEC doet het voorstel dat bedrijven binnen 48 uur een cybersecurity incident moeten melden. Die maatregel komt niet uit de lucht vallen. Dat men aanstuurt op 2 dagen is een goede ontwikkeling.
Nederland datalekken
In Nederland is al eens de discussie gevoerd hoe snel een datalek gemeld moet worden. De wetgever heeft gekozen voor algemene termen. “Onverwijld“ vertalen naar een maximum aantal uren leek niet makkelijk. Vanzelfsprekend waren er ook partijen die een verschil wensten te maken tussen werkdagen en andere dagen. Voor de datalekken is men in Nederland uitgekomen op 72 uur.
SEC is niet AP
De SEC is een andere toezichthouder dan de AP in Nederland. SEC waakt over beursgenoteerde bedrijven en de handel daarom heen, van adviseurs, via banken tot analisten. Al die partijen kunnen te maken krijgen met datalekken, maar ook dat is niet waar SEC nu naar kijkt.
Deze toezichthouder heeft gekozen voor de brede noemer “cybersecurity incidenten“. Het melden van lekken van vertrouwelijke gegevens is overigens al eerder vastgelegd. Tussen die twee kan een zekere overlap zijn.
Voor het melden van cyberoverlast hebben de Amerikaanse banken gepleit voor een termijn van enkele dagen. Sommige van de voorstellen gingen zelfs uit van een week. Argumenten als de hoge kosten en de complexiteit van het uitzoeken wanneer iets een meldenswaardige incident is werden van stal gehaald.
SolarWinds en feestdagen
Indruk op de SEC heeft dat niet gemaakt. Met 3 tegen 1 stem is gekozen voor de termijn van 48 uur. Daarbij is zo te zien geen onderscheid gemaakt tussen werkdagen en andere dagen. Men heeft dankzij SolarWinds en Kaseya wel geleerd dat cybercriminelen dol zijn op feestdagen en dergelijke.
Voor het melden zal gebruik gemaakt moeten worden van een nieuw digitaal formulier voor elk type melder. Een blik op het voorstel voor die formulieren is interessant. Het maakt duidelijk dat de scope van de nieuwe maatregel voor tenminste een categorie erg breed is. Adviseurs en hun klanten moeten meer en eerder melden dan nu nog het geval is.
Adviseurs moeten ook kunnen aantonen welke inspanningen ze verrichten om het lekken van data tegen te gaan. Concreet, naast een meldplicht voor elk cybersecurity incident binnen 48 uur is er ook de verplichting tot het bijhouden van een overzicht van maatregelen. Het lijkt erop dat dit type bedrijf binnenkort niet meer kan bestaan zonder cyberverzekering en periodieke pentest. Over de eisen die voor de leveranciers gaan gelden valt ook nog het nodige te zeggen.
