Toezichthouder voor Wall Street onthult nieuwe regels voor hacken, gegevens en veerkracht van de markt

De Amerikaanse markttoezichthouder heeft woensdag een pakket beleidsvoorstellen aangekondigd om het financiële systeem te beschermen tegen hacken, gegevensdiefstal en systeemstoringen.

Tijdens een openbare vergadering zouden de vijf leden van de Securities and Exchange Commission stemmen over drie voorstellen, die deel uitmaken van een voortdurend streven naar modernisering van de regelgeving om de voortschrijdende technologische bedreigingen het hoofd te bieden.

De drie regelvoorstellen bepalen hoe makelaars-handelaars hacking-incidenten aanpakken en consumentengegevens beschermen, en hoe effectenbeurzen en transactieverrekeningscentra en anderen die van cruciaal belang worden geacht voor de nationale economische veiligheid zich wapenen tegen systeemuitval en cyberinbraak.

Zij vormen een aanvulling op de maatregelen die sinds vorig jaar zijn ingevoerd om de volgens functionarissen toenemende gevaren voor overheidsbedrijven en beleggers tegen te gaan - en zullen waarschijnlijk de kritiek voeden dat de SEC onder voorzitter Gary Gensler is begonnen aan een buitensporig ambitieuze regelgevingsagenda die de grenzen van haar capaciteit aftast.

Volgens de voorstellen moeten makelaars-handelaars en vermogensbeheerders programma's handhaven om ongeoorloofde toegang tot gegevens op te sporen en daarop te reageren, en moeten zij getroffen klanten binnen 30 dagen op de hoogte brengen.

Makelaars-handelaars, effectenbeurzen en anderen zouden ook verplicht zijn om een cyberbeveiligingsbeleid te voeren en de SEC "onmiddellijk" in kennis te stellen van "belangrijke" incidenten. In voorbereide opmerkingen noemde Gensler het voorstel "het eerste dat expliciet betrekking heeft op cyberbeveiligingspraktijken voor de meerderheid van deze marktentiteiten".

De eis van onmiddellijke kennisgeving zal waarschijnlijk de wenkbrauwen doen fronsen bij voorstanders van de sector. Een soortgelijk voorstel vorig jaar voor beleggingsondernemingen voorzag in een vertrouwelijke kennisgeving binnen 48 uur, wat bezwaren opriep dat dit de inspanningen om snel te reageren op hackingincidenten zou kunnen belemmeren.

Gensler merkte op dat een onderdeel van Morgan Stanley in september had ingestemd met de betaling van 35 miljoen dollar als oplossing voor de beschuldigingen van de SEC dat het gedurende een periode van vijf jaar had nagelaten persoonlijke informatie te beschermen.

Daarnaast heeft de SEC voorgesteld om het aantal beurzen, geregistreerde clearingbureaus en andere organisaties uit te breiden die vallen onder de "Systems Compliance and Integrity"-verordening van 2014, op grond waarvan exploitanten systemen moeten bouwen die robuust genoeg zijn om de marktactiviteiten te ondersteunen.

De voorgestelde wijziging houdt ook in dat dergelijke exploitanten toezicht moeten houden op diensten van cloud computing-providers om er zeker van te zijn dat deze voldoen aan de vereisten van de regel betreffende de veerkracht van de systemen.