SEC פרסמה כללים חדשים ביחס לגילויים בנושא סייבר
30 יולי 2023
מה חדש?
רשות ניירות הערך בארה"ב (ה- SEC) פרסמה כללי גילוי חדשים בנושא סייבר, שיחולו הן בדיווחים מיידיים והן בדוחות השנתיים.
על מי חלים הכללים החדשים?
על כל החברות שניירות הערך שלהן רשומים למסחר בבורסה בארה"ב, לרבות Foreign Private Issuers.
אז מה חברות נדרשות לעשות?
חברות המדווחות ל- SEC נדרשות לכלול בדיווחים השנתיים והמיידים שלהן גילויים חדשים בנושא איומי וארועי סייבר.
מתי נדרש לעשות זאת?
לגבי דיווחים מיידיים: החל מה- 18 בדצמבר, 2023 **
לגבי דוחות שנתיים: עם פרסום הדוחות השנתיים לשנת 2023 ***
ביום 26 ביולי, 2023, פרסמה ה- SEC דרישות גילוי חדשות בנושא הסייבר, ובעיקר ביחס לגילויים של סיכוני סייבר, אירועי סייבר, וניהול הנושאים הללו בחברה (Cyber Governance). הכללים החדשים חוקקו מתוך הכרה של הרשות בחשיבות הנושא, ומתוך ההבחנה של הרשות שקיימת שונות רבה בדרך שבה חברות שונות מדווחות על הנושא.
בהתאם לכללי הגילוי החדשים, חברות המדווחות ל- SEC כ- Foreign Private Issuers, נדרשות לכלול בדיווחים המיידיים והשנתיים שלהן את הגילויים הבאים:
בדיווחים מיידיים על טופס 6-K:
- החברה נדרשת לדווח על אירועי סייבר מהותיים שהיו מדווחים על פי דין מדינת הבית.
- מועד הדיווח על אירוע סייבר הוא בסמוך לאחר שהחברה קבעה שאכן מדובר באירוע מהותי ****
בדוח השנתי על טופס 20-F:
חברה נדרשת לכלול שורה ארוכה של גילויים בנושא הסייבר, לרבות:
- תיאור התהליכים לזיהוי, הערכת, וניהול איומי סייבר בחברה.
- האם איומי סייבר, לרבות כתוצאה מאירועי סייבר שהתרחשו, השפיעו באופן מהותי, או צפויים להשפיע באופן מהותי על החברה.
- תיאור הפיקוח של הדירקטוריון על איומי סייבר.
- תיאור תפקידי ההנהלה בהערכת וניהול איומי סייבר, לרבות האם אחת הוועדות, או מנהלים בחברה, אחראים לתחום, ומה הניסיון או המומחיות (expertise) שלהם בתחום.
הגדרות:
- סיכון סייבר: פוטנציאל לאירוע בלתי מורשה במערכות המידע של החברה או באמצעותן, אשר עלול לגרום להשפעה שלילית על הסודיות, האמינות, או הזמינות של מערכות המידע של החברה, או המידע הכלול בהן *****
- אירוע סייבר: אירוע בלתי מורשה (או סדרת אירועים קשורים) במערכות המידע של הארגון או באמצעותן, אשר מסכן או מסכל את הסודיות, האמינות, או הזמינות של מערכות המידע של החברה או המידע הכלול בהן******
נזקים אפשריים של אירועי סייבר שיש לשקול בדיווחים:
ה-SEC הכירה בכך שהנזקים שעלולים להיגרם לחברה מאירועי סייבר עשויים לכלול, בין היתר:
- הפרעה למהלך העסקים של החברה
- אבדן רווחים
- תשלומי כופר
- עלויות התיקונים והשיפורים הנדרשים במערכות (remediation)
- אחריות וחבויות לצדדים שלישיים שהמידע שלהם נפגע או נחשף
- עלויות ביטוח אירועי הסייבר
- עלויות ליטיגציה הקשורה לאירוע
- פגיעה במוניטין ובאמון הלקוחות בחברה
מועד תחולה:
הדרישה לדיווחים המיידים על טופס 6-K תיכנס לתוקף במאוחר מבין (א) 90 ימים לאחר מועד הפרסום של החקיקה החדשה במרשם הפדרלי, ו-(ב) 18 בדצמבר, 2023. הדרישה לכלול את המידע בדוח השנתי על טופס 20-F, תיכנס לתוקף עם פרסום הדוחות השנתיים לשנת כספים אשר הסתיימה ב-15 בדצמבר, 2023 או לאחר מכן.
אנא פנו אלינו לכל שאלה
מחלקת חברות וניירות ערך
הרצוג פוקס נאמן
* עדכון הלקוחות הזה הנו סיכום בלבד. הוא מנסה לסכם בעמוד וחצי, פרסום בן 186 עמודים. אין להסתמך עליו, ובכל החלטה בנושא הדיווחים הנדרשים, יש לפנות להרצוג על מנת להיוועץ האם, מתי, איך, ומה לדווח.
** בכפוף לעיכוב אפשרי במועד פרסום החקיקה במרשם הפדרלי. הדרישה לדיווחים המיידים על טופס 6-K תיכנס לתוקף במאוחר מבין (א) 90 ימים לאחר מועד הפרסום של החקיקה החדשה במרשם הפדרלי, ו-(ב) 18 בדצמבר, 2023.
*** זאת, לחברות ששנת הכספים שלהם מסתיימת ב-31 בדצמבר 2023. במידה ושנת הכספים של החברה מסתיימת לפני ה- 15 בדצמבר 2023, לחברה תהא עוד שנה.
**** "…for a cybersecurity incident to trigger a disclosure obligation on Form 6-K, the registrant must determine that the incident is material, in addition to meeting the other criteria for required submission of the Form."
***** Cybersecurity threat means any potential unauthorized occurrence on or conducted through a registrant’s information systems that may result in adverse effects on the confidentiality, integrity, or availability of a registrant’s information systems or any information residing therein.
****** Cybersecurity incident means an unauthorized occurrence, or a series of related unauthorized occurrences, on or conducted through a registrant’s information systems that jeopardizes the confidentiality, integrity, or availability of a registrant’s information systems or any information residing therein.