(AGENPARL) - Roma, 27 Febbraio 2023(AGENPARL) – lun 27 febbraio 2023 Alle Redazioni
Oggi pomeriggio si terrà a Milano, presso l’Università Cattolica del Sacro Cuore, il convegno: Cybersecurity e Societa’ Quotate nella Prospettiva Usa e Ue
L’evento prevede la possibilità di partecipare in presenza nell’Aula PIO XI dell’Università Cattolica del Sacro Cuore (Milano), o di seguire l’evento in live streaming tramite il link
https://live.unicatt.it/.
Il tema è la cybersecurity in relazione alle società quotate in Borsa dal punto di vista degli Stati Uniti e della Ue.
Verrà analizzata la questione se la cybersecurity debba entrare nella comunicazione obbligatoria delle quotate solo in caso di attacco hacker ovvero se debba entrarci stabilmente, nel bilancio di esercizio e nella semestrale, per dar conto agli azionisti e al mercato della robustezza o della vulnerabilità di un’impresa rispetto al rischio cyber. Gli Stati Uniti sono incamminati verso questa seconda opzione. Nella Ue, invece, la cybersecurity viene trattata come un qualsiasi evento price sensitive da comunicare solo nel momento in cui dovesse presentarsi un’emergenza. Il convegno sarà l’occasione per una riflessione su questi temi anche nella prospettiva di una possibile evoluzione normativa in ambito Ue.
Sentiremo, tra gli altri, gli interventi di Luna Bloom e David Joire della Sec, di Alexander Harris dell’Esma e di Paolo Ciocca della Consob.
L’appuntamento è a Milano nella sede dell’Università Cattolica nel pomeriggio di lunedì 27 febbraio e nella mattinata di martedì 28.
A seguire i riferimenti normativi e negli allegati qualche spiegazione tecnica.
The SEC’s new proposed rule (in particular “Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies”, cfr. https://www.sec.gov/rules/proposed/2022/33-11038.pdf) requires public companies to report material cybersecurity incidents within four business days after determining that an event has occurred. Companies must also provide periodic updates of previously reported cybersecurity incidents and share their cybersecurity risk management policies and procedures, including how they engage with third-party assessors or consultants or how cybersecurity risk might impact the company’s financials.
In SEC’s view, although registrants’ disclosures of both cybersecurity incidents and risk management have improved during the last years, disclosure practices are still inconsistent. The proposed amendments are designed to better inform investors about registrant’s risk management, strategy and governance, and to provide timely notification of material cybersecurity incidents.
Therefore, the proposed rules cover two areas of interest about the public disclosure related to: a) material cybersecurity incidents; b)preparedness (i.e. policies and procedures, including of cybersecurity registrants business strategy).
During the workshop the SEC’s staff will give also an overview of the proposed rules “Cybersecurity Risk Management for Investment Advisers, Registered Investment Companies, and Business Development Companies” (cfr. https://www.sec.gov/rules/proposed/2022/33-11028.pdf). In brief these proposed rules would require advisers and funds to adopt and implement written cybersecurity policies and procedures designed to address cybersecurity risks that could harm advisory clients and fund investors; to report significant cybersecurity incidents affecting the adviser or its fund or private fund clients to the SEC on a new confidential form and in no event more than 48 hours;to publicly disclose cybersecurity risks and significant cybersecurity incidents that occurred in the last two fiscal years in their brochures and registration statements
Di seguito i link ai due comunicati stampa della Sec (vedere in particolare il primo dei due, quello di marzo 2022).
[SEC.gov | SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies](https://www.sec.gov/news/press-release/2022-39)
[SEC.gov | SEC Proposes Cybersecurity Risk Management Rules and Amendments for Registered Investment Advisers and Funds](https://www.sec.gov/news/press-release/2022-20)
Il convegno sarà in inglese senza traduzione italiana.
Testo Allegato:
PROPOSTA SEC 9.02.2022 [RIN 3235-AN08] “Cybersecurity Risk Management for Investment Advisers, Registered Investment Companies, and Business Development Companies”Con la proposta regolamentare predisposta a febbraio 2022 dalla Divisione di Investment Management – cfr. https://www.sec.gov/news/press-release/2022-20, fine consultazione 11/4/2022 [ma commenti continuati fino a dicembre 2022] SEC sta chiedendo ai registered Investment advisers (advisers) e investment companies (funds) nell’ambito delle procedure di compliance (Investment Advisers Act of 1940 e Investment Company Act of 1940) di:- adottare specifiche policies e procedure scritte per presidiare il rischio cyber, con l’obbligo di riesaminarle almeno una volta l’anno in ragione dei continui cambiamenti delle minacce cyber e delle tecnologie, con richiesta di:valutazioni periodiche dei rischi di cybersecurity associati ai sistemi IT e alle informazioni in essi contenute;controlli di sicurezza progettati per ridurre al minimo il rischio legato agli utenti e impedire l’accesso non autorizzato ai sistemi IT e alle informazioni in essi contenute;misure volte a monitorare i sistemi IT e a proteggere tali sistemi e le informazioni in essi contenute da accessi non autorizzati;supervisione dei fornitori di servizi che hanno accesso ai sistemi e alle informazioni IT;mantenimento di un programma di gestione delle minacce e delle vulnerabilità della cybersecurity; misure per rilevare, rispondere e recuperare un incidente di cybersecurity, compreso un piano di risposta agli incidenti che affronti gli obblighi di segnalazione alla SEC (cfr. nel seguito) e i protocolli di escalation ai dirigenti e al consiglio di amministrazione.- predisporre specifici report su significant cybersecurity incidents da trasmettere alla SEC entro 48 ore secondo “new confidential form” proposti a integrazione dell’Advisers Act. La SEC propone di emanare la norma 204-6, che richiederebbe ai consulenti di segnalare tempestivamente, ma non oltre le 48 ore, gli incidenti significativi di cybersecurity alla SEC, anche per conto proprio e per conto di un cliente che sia una società di investimento o una società commerciale registrata o un fondo privato. Il termine di 48 ore decorre dal momento in cui il consulente ha una “ragionevole base per concludere” che si è verificato o si sta verificando un incidente significativo. La proposta definisce in modo ampio sia l’”incidente significativo di cybersecurity del consulente” e, similarmente “..del fondo” come: “un incidente di cybersecurity, o un gruppo di incidenti di cybersecurity correlati, che interrompe o degrada in modo significativo la capacità del consulente, o la capacità di un fondo privato cliente del consulente, di mantenere le operazioni critiche, o che porta all’accesso o all’uso non autorizzato di informazioni del consulente, laddove l’accesso o l’uso non autorizzato di tali informazioni comporta (1) un danno sostanziale al consulente, o (2) un danno sostanziale a un cliente, o a un investitore in un fondo privato, le cui informazioni sono state consultate”. I consulenti avrebbero anche l’obbligo di modificare le comunicazioni precedenti entro 48 ore dalla scoperta di nuove informazioni rilevanti relative all’incidente o nel caso in cui una comunicazione precedente diventi materialmente inesatta.- divulgare pubblicamente i rischi e gli incidenti di cybersecurity rilevanti (material) avvenuti negli ultimi 2 anni con impatti su clienti e shareholders.Per i consulenti, il modulo ADV, parte 2A, verrebbe modificato per richiedere di descrivere i rischi di cybersecurity che potrebbero influenzare materialmente i servizi di consulenza offerti, nonché gli incidenti di cybersecurity verificatisi negli ultimi due anni fiscali. Un rischio di cybersecurity sarebbe material “se esiste una sostanziale probabilità che un cliente ragionevole consideri l’informazione importante sulla base dell’insieme dei fatti e delle informazioni”. I consulenti saranno inoltre tenuti a fornire “tempestivamente” un Modulo ADV modificato o integrato ai clienti esistenti se aggiungono, o rivedono sostanzialmente, un’informativa su un incidente di cybersecurity. I fondi sarebbero tenuti a comunicare nei prospetti di registrazione “qualsiasi incidente significativo di cybersecurity verificatosi negli ultimi due anni fiscali”.- rispettare nuovi requisiti in materia di conservazione dei dati (obbligo di recordkeeping 5 anni) relativi a policies e procedure cyber e altra reportistica cyber, per facilitare l’attività SEC ispettiva e di enforcement. Nella introduzione alle regole SEC scrive :” the staff has observed that while many advisers and funds already provide disclosure about cybersecurity risks, we are concerned that clients and investors may not be receiving sufficient cybersecurity-related information, particularly with respect to cybersecurity incidents, to assess the operational risk at a firm or the effects of an incident to help ensure they are making informed investment decisions. We therefore seek to improve cybersecurity-related disclosures by addressing cybersecurity more directly”.Una delle proposte più significative è l’obbligo di segnalare alla SEC (no public) gli incidenti di cybersecurity entro 48 ore, il che richiederà ai consulenti e ai fondi di indagare rapidamente sugli incidenti, valutare gli obblighi di segnalazione e presentare un rapporto alla Commissione. A causa di questo breve periodo di tempo, i membri dei team legali e di compliance (così come i consulenti esterni) dovranno essere rapidamente messi al corrente di questi incidenti dal team di sicurezza informatica per far fronte agli obblighi di segnalazione, idealmente attraverso protocolli scritti di escalation e procedure di risposta che incorporino i legali e la compliance fin dalle prime fasi del processo di rilevamento e risposta. Inoltre, i nuovi requisiti prescrittivi per le politiche e le procedure di cybersecurity, nonché il ruolo dei senior leader e del consiglio di amministrazione nella supervisione del programma, richiederanno a molti consulenti e fondi di maturare sostanzialmente i loro programmi di cybersecurity per conformarsi ai requisiti proposti.In proposito la SEC scrive “This reporting would not only help the Commission monitor and evaluate the effects of a cybersecurity incident on an adviser and its clients or a fund and its investors, but also assess the potential systemic risks affecting financial markets more broadly”*l’intento evidente della SEC con le norme proposte è quello di stabilire uno standard comune per i requisiti di cybersecurity dei consulenti d’investimento e dei fondi, imponendo al contempo requisiti più stringenti rispetto a quelli esistenti che per.es. già prevedono un piano scritto di sicurezza delle informazioni, ma non contengono requisiti dettagliati in materia di sicurezza, soprattutto se confrontati con requisiti di sicurezza più completi come i requisiti di sicurezza informatica per le società di servizi finanziari del Dipartimento dei servizi finanziari di New York (https://www.dfs.ny.gov/industry_guidance/cybersecurity)