ABD Menkul Kıymetler ve Borsa Komisyonu Başkanı Gary Gensler’in “Halka Açık Şirketlerin Siber Güvenlik Konusundaki Kamuyu Aydınlatma Kuralları”na İlişkin Açıklaması*

Bugün [26 Temmuz 2023] Amerika Birleşik Devletleri (ABD) Menkul Kıymetler ve Borsa Komisyonu (Securities and Exchange Commission-SEC), halka açık şirketler tarafından siber güvenlik kamuyu aydınlatmasına ilişkin nihai kuralları kabul etmeyi düşünüyor. Bu kuralları desteklemekten memnuniyet duyuyorum çünkü bunlar, halka açık şirketlerin siber güvenlik uygulamaları ve önemli siber güvenlik olayları ile ilgili olarak yatırımcılara yapılacak açıklamaları iyileştirecek ve standartlaştıracaktır.

Siber güvenlik riskleri ve olayları, giderek artan bir şekilde modern yaşamın bir gerçeği haline geliyor. Maddi olaylar meydana geldiğinde, bunların finansal, operasyonel, yasal veya itibarla ilgili de dâhil olmak üzere bir dizi sonucu olabilir.

Şu anda, birçok halka açık şirket yatırımcılara siber güvenlik ile ilgili kamuyu aydınlatma açıklamaları sağlıyor. Bununla birlikte, bu açıklamanın daha tutarlı, karşılaştırılabilir ve karar açısından yararlı bir şekilde yapılması halinde, şirketler ve benzer şekilde yatırımcıların fayda sağlayacağını düşünüyorum.

Dolayısıyla, bu benimseme, halka açık şirketlerin siber güvenlik açıklamalarını iki şekilde artıracaktır.

Birincisi, kurallar şirketlerin siber güvenlik risklerine ilişkin risk yönetimi, stratejisi ve (kurumsal) yönetişimine ilişkin periyodik açıklamalar gerektirecektir. Bu, yatırımcıların bu riskleri daha etkin bir şekilde değerlendirmelerine ve bilinçli yatırım kararları vermelerine yardımcı olacaktır.

İkincisi, kurallar maddi siber güvenlik olaylarının kamuya açıklanmasını gerektirecektir. Birçok halka açık şirket bunu zaten yapıyor, ancak tutarlı bir şekilde yapılmıyor. [1] Bu nedenle, günümüzün nihai kuralı, halka açık şirketlerin maddi bir siber güvenlik olayı yaşadıklarını tespit etmeleri halinde, bunu bir Form 8-K dosyasında kamuya ifşa etmelerini gerektirecektir. Şirketlerin bunu diğer Form 8-K bildirim yükümlülüklerine uygun olarak dört iş günü içinde yapmaları gerekecektir. Açık olmak gerekirse, kamuyu aydınlatma yükümlülüğü yalnızca olay meydana geldikten sonra değil, şirket bir siber güvenlik olayının önemli olduğunu belirledikten sonra ortaya çıkar. [2]

ABD Kongresi, 2002 tarihli Sarbanes-Oxley Yasası’nı yürürlüğe koyarken yatırımcılara güncel bildirimlerin faydalarını kabul etti. [3] Kongre, bu Yasa aracılığıyla, “şirketlerin, yatırımcıların korunması ve kamu yararı için SEC’in gerekli veya yararlı olduğuna karar verdiği ölçüde, ihraççının finansal durumundaki veya faaliyetlerindeki (…) önemli değişikliklerle ilgili bu tür ek bilgileri hızlı ve güncel bir şekilde (…) kamuya açıklamasını” şart koştu. [4]

2004 yılında, Kongre’nin yetkisini uygulayan SEC, çeşitli konularda mevcut bildirimleri genişleten kurallar kabul etti. [5] Bugünün kuralları, önemli siber güvenlik olaylarını mevcut bildirim yükümlülükleri listesine ekleyecektir.

Bu Kurallar, ABD Başsavcısının ulusal güvenlik veya kamu güvenliği için önemli bir risk oluşturabileceğini belirlediği önemli siber güvenlik olaylarının kamuya ifşa edilmesi için sınırlı gecikmeleri içerecektir. Ayrıca, benimseyen muafiyet, Başsavcı daha fazla gecikmenin gerekli olduğunu belirtirse, SEC’in ilave gecikme taleplerini değerlendireceğini ve olası muafiyet emirleri yoluyla bu tür bir rahatlama sağlayabileceğini sağlar.

Kamuoyunun yorumuna yanıt olarak, bugünün benimsenen sürümü, hem periyodik hem de olay raporlaması için gerekli açıklamaları kolaylaştırıyor. Örneğin, nihai kurallar, düzenleyicilerin bir olayın yalnızca önemli etkilerini, niteliğini, kapsamını ve zamanlamasını açıklamasını gerektirecekken; tasarı teklifi, önemlilikle açıkça sınırlandırılmayan ek ayrıntılar gerektirecektir.

Günümüzün siber ile ilgili kamuyu aydınlatma kurallarını göz önünde bulundururken, önemlilik kavramı bana rehberlik ediyor. Piyasalarımız temel bir pazarlığa dayalıdır: Yatırımcılar, halktan para toplayan şirketler tam, adil ve gerçeğe uygun açıklamalar yaptığı sürece hangi riskleri alacaklarına karar verirler. Bu nedenle, bir ihraççı önemli bir siber olay yaşarsa, günümüzün nihai kurallarına göre, ihraççının bu önemli olayla ilgili önemli bilgileri kamuya açıklaması gerekecektir.

Bir şirketin fabrikasını bir yangında veya milyonlarca dosyayı bir siber güvenlik olayında kaybetmesi, yatırımcılar için önemli olabilir.

Nesiller boyunca, bilgilendirme rejimimiz, yatırımcıların değişen zamanlarda ihtiyaçlarını karşılamak için gelişmiştir. Bugünün benimsenmesi, bu uzun geleneğin yalnızca son adımına işaret ediyor.

Şirketlerin önemli siber güvenlik bilgilerini kamuya ifşa etmesini sağlamaya yardımcı olarak günümüzün kuralları yatırımcılara, şirketlere ve onları birbirine bağlayan pazarlara fayda sağlayacaktır.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.