Stopp aksjehandelen – selskapet er under cyberangrep

Børsnoterte selskaper må sette cybersikkerhet på styre- og ledelsesagendaen. Forståelsen av risiko og konsekvenser av hendelser er avgjørende for å oppfylle informasjonsplikten i samsvar med verdipapirhandellovens bestemmelser.


<p><b>FARLIGE CYBERANGREP:</b> Oslo Børs en høstdag.</p>

FARLIGE CYBERANGREP: Oslo Børs en høstdag.

kommentar Jørn Bremtun

Partner i Nord & Bremtun Cybersecurity Communication

Cyberangrep og datakriminalitet kan stenge ned hele virksomheter og forårsake enorme økonomiske tap, utløse bøter og erstatningskrav og ha betydelig negativ effekt for omdømme.

Avdekker en børsnotert virksomhet forhold som kan tyde på at cyberangrep er på gang kan dette utløse informasjonsplikt etter Verdipapirhandellovens bestemmelser om innsideinformasjon.

I praksis vil virksomheter møte noen store dilemmaer i en slik situasjon. Det er for eksempel ikke sikkert at hverken virksomheten eller dens eiere er tjent med at informasjon om inntrengere offentliggjøres. Offentliggjøring kan eskalere situasjonen, og gjøre det vanskelig for IKT- og sikkerhetsekspertise å løse utfordringen, det vil si forhindre inntrengeren å gjøre (mer) skade eller få tilgang til kritisk informasjon. Et annet element som kan kreve tid er å identifisere hvem angriperen er og således sikre spor til en eventuell etterforskning.

Ansees risikoen for skade for overhengende er det likevel på det rene at virksomheten og dens ledelse er i besittelse av innsideinformasjon. Handel i egne verdipapirer er dermed ulovlig. Et stort nedsalg før et alvorlig cyberangrep kan åpenbart tolkes i retning av ulovlig innsidehandel.

Den norske verdipapirhandellovens bestemmelser er ikke spesifikke på cyberangrep. Amerikanske børsmyndigheter (SEC) har derimot funnet det nødvendig å være mer spesifikk når det gjelder rapporteringsplikter ved cyberangrep. 26. februar i år publiserte SEC retningslinjer for håndtering av cybersikkerhet. Den slår fast tre vesentlige forhold.

For det første faller cyberangrep og uønskede IKT-hendelser inn under informasjonsplikten. For det andre erkjenner SEC dilemmaet knyttet til offentliggjøring, men da påhviler det likevel selskapet å følge de retningslinjene som gjelder for handel basert på innsideinformasjon. Personer som er kjent med at et angrep pågår eller er under oppseiling kan ikke handle i verdipapirene. For tredje mener SEC at cyberrisiko er et forhold som virksomheter regelmessig må rapportere om. Både hendelser som har vært i egen virksomhet og i nærliggende relasjoner, for eksempel hos kunder eller samarbeidspartnere, skal det gis informasjon om i en risikokontekst. Dette skal sikre at investorer og marked til enhver tid har et best mulig bilde av hvilken selskapsspesifikk risiko et kjøp av aksjer i selskapet kan innebære.

Børsnoterte selskaper bør derfor i beredskaps- og kriseplaner ha tenkt igjennom hvordan ulike scenarier for cyberangrep skal håndteres når det gjelder rapportering. Utgangspunktet for scenariene bør være en risikoanalyse som fanger opp hvilke informasjonsverdier virksomheten forvalter, hvilke trusler som er mest sannsynlig og hvilke sårbarheter som eksisterer i systemer og digitale samhandlingsmønstre. I beredskapsplaner må varslingsplikter mot myndigheter, kunder, partnere og Oslo Børs gjennomgås, og ledelsen må trekke opp linjene for hva som etter verdipapirhandellovens bestemmelser er en ryddig håndtering av slike situasjoner.

Cybersikkerhet er ikke bare et spørsmål om teknologi, men et tema som må på bordet til toppledere og styret. Amerikanske børsmyndigheter er forbilledlige klare når det gjelder å tydeliggjøre dette ansvaret, både når det gjelder løpende rapporteringsarbeidet og i hendelsesspesifikk håndtering.

En tilsvarende eksplisitt tydelighet ligger ikke per nå i det norske lovverket, men når man kjenner konsekvensene av et alvorlig cyberangrep er det liten tvil om at det er fanget opp i verdipapirhandellovens mer generelt utformede bestemmelser.

Dette bør få styre og ledelse i børsnoterte selskaper til å gjennomgå og øve på rutiner og planer for håndtering av slike hendelser.

Vis kommentarer

Kjære kommentarfeltbruker!

Vi ønsker dine argumenter og meninger velkommen. Vær saklig og vis omtanke, mange leser det du skriver. Gjør debatten til en bedre opplevelse for både andre og deg selv.

Les mer om våre regler her.

Se alle kommentarer på E24
På forsiden nå