La nuova disciplina della disclosure in tema di cybersicurezza per le società quotate USA

Premessa

Il 26 luglio 2023, la Securities and Exchange Commission (la SEC) ha adottato nuove regole per migliorare e standardizzare le informazioni relative alla gestione del rischio di cybersecurity, alla strategia, alla governance e agli incidenti da parte delle società pubbliche soggette ai requisiti di reporting del Securities Exchange Act del 1934.

Le nuove regole hanno due obiettivi principali:

-      il primo è rappresentato dall'introduzione della divulgazione obbligatoria di informazioni relative ad eventuali incidenti rilevanti in tema di cybersecurity subiti dalla società. Per gli emittenti nazionali, questa informativa deve essere depositata mediante l'utilizzo del Modulo 8-K entro quattro giorni lavorativi dalla determinazione che un incidente cybersecurity è stato considerato rilevante. Per gli emittenti privati stranieri ("FPI"), l'informativa deve essere fornita sul Modulo 6-K subito dopo che l'incidente è stato divulgato o altrimenti pubblicizzato (o è richiesto di essere divulgato o pubblicizzato) in una giurisdizione straniera, in una qualsiasi borsa valori o ai possessori dei titoli;

-      il secondo è rappresentato dall'introduzione di un obbligo di informativa annuale sulla gestione, la strategia e la governance del rischio di cybersecurity da parte delle società quotate. Tale informativa deve essere effettuata mediante l'utilizzo del Modulo 10-K per le società residenti negli USA; per le società emittenti private straniere deve essere fornita nel Modulo 20-F.

Conseguentemente, se un FPI divulga o pubblicizza in altro modo (o è tenuto a divulgare o pubblicizzare) un incidente rilevante di cybersecurity in una giurisdizione estera, a una borsa valori o ai detentori di titoli, deve fornire prontamente le stesse informazioni relative all'incidente sul Modulo 6-K.

Il contenuto dell'informativa aggiuntiva prevista in tema di cybersicurezza

Le nuove regole aggiungono l'articolo 1.05 al modulo 8-K. In particolare, l'articolo 1.05 richiede la divulgazione delle seguenti informazioni relative a un incidente rilevante di cybersecurity:

- gli aspetti rilevanti della natura, della portata e della tempistica dell'incidente;

- l'impatto materiale o l'impatto materiale ragionevolmente probabile sul dichiarante, compresi la situazione finanziaria e i risultati operativi del dichiarante.

Il punto 1.05 non richiede al dichiarante di divulgare informazioni specifiche o tecniche sulla risposta pianificata all'incidente o sui suoi sistemi di cybersecurity, sulle reti e sui dispositivi correlati o sulle potenziali vulnerabilità del sistema in modo così dettagliato da ostacolare la risposta o il rimedio all'incidente.

Il termine per la presentazione di un Modulo 8-K non è legato alla scoperta dell'incidente, ma alla determinazione da parte del dichiarante che l'incidente è rilevante. Il deposito deve essere effettuato entro quattro giorni lavorativi dal momento in cui il dichiarante ha stabilito che un incidente di cybersecurity è rilevante. La norma indica ai dichiaranti di effettuare la determinazione della rilevanza "senza ritardi irragionevoli". Come in altri contesti relativi ai titoli, un'informazione è rilevante se "esiste una sostanziale probabilità che un azionista ragionevole la consideri importante" nel prendere una decisione di investimento, o se avrebbe "alterato in modo significativo il 'mix totale' di informazioni rese disponibili".

Poiché la materialità si concentra sull'insieme delle informazioni dal punto di vista di un investitore ragionevole, i dichiaranti che valutano la materialità di un incidente di cybersecurity devono farlo attraverso la lente dell'investitore ragionevole. La loro valutazione deve prendere in considerazione tutti i fatti e le circostanze rilevanti, il che può comportare l'esame di fattori sia quantitativi sia qualitativi.

Il punto 1.05 consente un ritardo limitato qualora il Procuratore Generale degli Stati Uniti stabilisca che la divulgazione di un incidente di cybersecurity rappresenta un rischio sostanziale per la sicurezza nazionale o la pubblica sicurezza. In tal caso deve essere effettuata una notifica scritta alla Securities and Exchange Commission.

L'informativa in merito alla gestione del rischio, alla strategia e alla governance adottata dalla società in tema di cyber risk

Le nuove norme aggiungono l'Elemento 106 alla Regulation S-K, che richiede ai dichiaranti di divulgare alcune informazioni relative alla gestione del rischio, alla strategia e alla governance in materia di cybersecurity nelle loro relazioni annuali sul Modulo 10-K. Le nuove norme aggiungono l'Elemento 16K al Modulo 20-F per richiedere agli FPI un'informativa analoga nelle loro relazioni annuali sul Modulo 20-F.

In particolare, per quanto riguarda la gestione del rischio, l'Elemento 106 e l'Elemento 16K richiedono ai dichiaranti di descrivere i loro processi, se esistenti, per la valutazione, l'identificazione e la gestione dei rischi sostanziali derivanti dalle minacce alla sicurezza informatica, nonché di indicare se eventuali rischi derivanti da minacce alla sicurezza informatica, anche a seguito di precedenti incidenti di sicurezza informatica, li hanno materialmente influenzati o è ragionevolmente probabile che li influenzino materialmente. Le nuove regole includono un elenco non esclusivo di informazioni che i dichiaranti dovrebbero fornire in base ai fatti e alle circostanze.

Per quanto riguarda la governance, l'Articolo 106 e l'Articolo 16K richiedono ai dichiaranti di descrivere la supervisione del consiglio di amministrazione sui rischi derivanti dalle minacce alla sicurezza informatica (compresa l'identificazione di qualsiasi comitato o sottocomitato del consiglio di amministrazione responsabile di tale supervisione) e il ruolo del management nella valutazione e nella gestione dei rischi materiali derivanti dalle minacce alla sicurezza informatica.

L'entrata in vigore della nuova normativa

Per quanto riguarda le informazioni annuali sulla cybersecurity nei Form 10-K e Form 20-F, tutte le società dichiaranti (incluse le SRC) devono fornire tali informazioni a partire dalle relazioni annuali per gli anni fiscali che terminano il 15 dicembre 2023 o successivamente.

Per quanto riguarda la divulgazione di informazioni rilevanti sugli incidenti di cybersecurity sul Modulo 8-K e sul Modulo 6-K, i dichiaranti che non sono SRC devono iniziare a conformarsi entro il 18 dicembre 2023. Gli SRC dispongono di ulteriori 180 giorni per conformarsi, il che significa che dovranno iniziare a farlo entro il 15 giugno 2024.

Per quanto riguarda i requisiti relativi ai dati strutturati (ossia l'etichettatura Inline XBRL), tutti i dichiaranti (compresi gli SRC) devono iniziare a etichettare le loro informazioni sulla cybersecurity nel Form 10-K e nel Form 20-F in Inline XBRL per gli anni fiscali che terminano il 15 dicembre 2024 o successivamente, e tutti i dichiaranti (compresi gli SRC) devono iniziare a etichettare le loro informazioni sugli incidenti rilevanti di cybersecurity nel Form 8-K e nel Form 6-K in Inline XBRL entro il 18 dicembre 2024.

I possibili impatti sulla legislazione del nostro Paese

Si rammenta che l'Italia ha istituito la Agenzia per la cybersicurezza nazionale con il decreto-legge 14 giugno 2021, n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale” convertito con modificazioni dalla L. 4 agosto 2021, n. 109.

La normativa nazionale individua come segue il tema della cybersicurezza: “l'insieme delle attività, fermi restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell'interesse nazionale nello spazio cibernetico”.

L'Autorità, ai sensi dell'art. 7 del d.l., svolge un ampio insieme di funzioni tra le quali:

• assicura il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore;
• predispone la strategia nazionale di cybersicurezza;
• assume tutte le funzioni in materia di cybersicurezza relative alla sicurezza e all'integrità delle comunicazioni elettroniche, di cui agli artt. 16-bis e 16-ter d.lgs. 1° agosto 2003, n. 259, e relative disposizioni attuative e alla sicurezza delle reti e dei sistemi informativi, di cui al d.lgs. 18 maggio 2018, n. 65 di attuazione della Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (decreto NIS);
• assume le iniziative idonee a valorizzare la crittografia come strumento di cybersicurezza;
• attiva ogni iniziativa utile volta al rafforzamento dell'autonomia industriale e tecnologica dell'Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali;
• provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell'Unione europea e del regolamento di cui all'art. 33-septies, comma 4, del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221;
• sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici,
• svolge ogni attività diretta all'analisi e al supporto per il contenimento e il ripristino dell'operatività dei sistemi compromessi, con la collaborazione dei soggetti pubblici o privati che hanno subito incidenti di sicurezza informatica o attacchi informatici;
• partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;
• cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale;
• supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell'università e della ricerca nonché del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche;
• svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;
• promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l'attivazione di percorsi formativi universitari in materia, anche attraverso l'assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti.

Per quanto attiene gli obblighi di informativa, ancorchè non disciplinati attualmente dalla normativa nazionale, essi appaiono di particolare rilevanza anche nel contesto nazionale ed europeo atteso l'impatto sistemico del rischio cyber. Tenuto conto del comunicato stampa della Consob del 27 febbraio 2023 e dell'implementazione avvenuta nella normativa statunitense dei nuovi obblighi di disclosure in tema di cybersicurezza, è ragionevole prevedere che anche per le società quotate italiane ed europee verranno presto definiti specifici obblighi di informativa nella reportistica periodica dell'emittente avuto riguardo alla resilienza agli attacchi hacker dello stesso. Gli stessi si concretizzeranno non tanto se fornire o meno l'informazione, ma soprattutto quando darla, come darla e cosa dire al mercato nell'ambito delle attribuzioni proprie del Consiglio di Amministrazione di una società avente titoli negoziati in mercati regolamentati.