Dat zegt de Amerikaanse beurswaakhond SEC in een nieuwe stapel richtlijnen. Die regels zijn bedoeld om bedrijven “te helpen om vast te stellen of en wanneer een cyberaanval openbaar moet worden gemaakt, of om te bepalen of een dergelijke aanval een risico vormt", schrijft InfoWorld, een Amerikaanse zustersite van Webwereld.

Het gaat vooral om bedrijven die staan genoteerd aan de aandelenbeurs. Als een cyberaanval en de gevolgen daarvan van invloed zijn op de waarde van het bedrijf of schade (kunnen) toebrengen aan de bedrijfsvoering, moeten de incidenten openbaar worden gemaakt. Immers, dat betekent dat het investeren in dat bedrijf extra risico's met zich meebrengt.

Eerst een risicoanalyse

Bedrijven zouden van te voren een risicoanalyse moeten maken in hoeverre men doel kan zijn van een dergelijke aanval, wat de kwetsbaarheden zijn en wat de materiële schade van een dergelijke aanval kan zijn. Dat kan gaan om een ernstige verstoring van de dagelijkse operationele gang van zaken of bijvoorbeeld het lekken van gevoelige informatie, van klanten of van eigen intellectueel eigendom.

Hacks of hackpogingen uit het verleden moeten bekend worden gemaakt als ze nog steeds samenhangen met een risico voor de toekomst. Daarbij zouden mogelijk ook gegevens tot in de detail moeten worden openbaard, zegt de SEC. Dat hangt af van de aard van het risico en de mogelijkheid dat het in de toekomst tot meer van dat soort aanvallen kan leiden.

Worden bedrijven nu voorzichtiger?

Volgens David Navetta van de Information Law Group zijn de richtlijnen op diverse manieren te interpreteren, maar als neveneffect zou het tot gevolg kunnen hebben dat bedrijven hun risico intern beter en voorzichtiger gaan inschatten, wat een winst op zich zou kunnen zijn. “Dit gaat veel verder dan beveiliging rond privacygegevens waar tot nu toe de focus op heeft gelegen", schrijft hij in een blog, “maar legt de nadruk op belangrijke operationele factoren die door een dergelijke beveiligingsbreuk kunnen worden getroffen."