Waarom Reguleerders en Beleggers Verwag dat Maatskappye 'n Drievoudige Risiko Aanspreek

Deur Danny Bradbury • 5 Februarie 2026

Organisasies is bekommerd oor sekuriteits- en privaatheidsrisiko's. En meer onlangs het hulle aandag gegee aan KI-risiko's. Maar hoe gereeld dink hulle aan al drie in dieselfde gesprek?

Dit word toenemend duidelik dat hulle dit behoort te doen. Wette wat databeskerming, kuberveiligheid en KI dek, het verviervoudig sedert 2016 regoor die VSA, EU, VK en China.

Die SEC het reeds bewys dat hulle ernstig is oor kuberveiligheid. Die kuberveiligheidreëls, wat vanaf Desember 2023 van krag is, hervorm reeds hoe publieke maatskappye die openbaarmaking van oortredings hanteer. Vorm 8-K Item 1.05 nou. vereis maatskappye om wesenlike kuberveiligheidsvoorvalle binne vier werksdae na die bepaling van wesenlikheid bekend te maak, nie vanaf wanneer die voorval ontdek is nie. Vorm 10-K Item 106 vereis jaarlikse openbaarmaking van risikobestuursprosesse en direksie-toesigstrukture.

Die Kommissie is nie bang om maatskappye te straf wat volgens hulle sekuriteitsvoorvalle afgeskaal het nie. Net meer as 'n jaar gelede, in Oktober 2024, het die SEC handhawingsaksies teen vier publieke maatskappye (Unisys, Avaya, Check Point en Mimecast) geskik vir die misleiding van beleggers oor die impak van die SolarWinds-kuberaanval in 2020. Die gekombineerde boetes het $7 miljoen benader. Unisys alleen het $4 miljoen betaal omdat hulle kuberrisiko's as "hipoteties" in hul liassering beskryf het, terwyl interne spanne van werklike inbrake geweet het.

Tussen Desember 2023 en Januarie 2025 is 55 kuberveiligheidsvoorvalle aangemeld via Vorm 8-K-indienings. Benewens die SolarWinds-verwante aksies, het Flagstar in Desember 2024 $3.55 miljoen betaal omdat hulle 'n oortreding wat 1.5 miljoen mense geraak het, as blote "toegang" beskryf het terwyl data eintlik gesteel is.

Hierdie strawwe toon 'n behoefte om die openbaarmaking van kuberveiligheid te verbind met breër ondernemingsrisikobestuur. Die SEC se stigting van 'n nuwe Eenheid vir Kuber en Opkomende Tegnologieë in Februarie 2025 dui daarop dat hierdie ondersoek sal voortduur. Dit het die Eenheid vir Kripto-bates en kuber vervang. CETU sinspeel ook op die belangrikheid daarvan om KI in hierdie risiko's in te sluit, aangesien dit spesifiek beide KI- en kuberveiligheidspraktyke in sy mandaat insluit.

Gefragmenteerde Bestuur Skep Samestellende Blootstelling

Amerikaanse maatskappye met Europese bedrywighede ondervind ook bykomende druk van die EU se KI-wet, wat in Augustus 2024 in werking getree het. Die wet, wat voldoeningsdatums tot 2027 het, is ekstraterritoriaal van toepassing. Amerikaanse besighede wat KI-stelsels in die EU-mark plaas of KI ontplooi waarvan die uitsette EU-gebruikers beïnvloed, moet voldoen.

Die risiko's is aansienlik. Strawwe vir verbode KI-praktyke bereik €35 miljoen of 7 persent van die wêreldwye jaarlikse inkomste, wat ook al die hoogste is. Hoërisikokategorieë, wat KI insluit wat gebruik word vir indiensnemingsbesluite, kredietgradering en gesondheidsorgdiagnostiek, vereis ooreenstemmingsassesserings, tegniese dokumentasie en menslike toesigmeganismes. Verbod op KI-stelsels met onaanvaarbare risiko het in Februarie 2025 in werking getree.

KI verskyn in openbaarmakingsdokumente

Beleggersverwagtinge verander namate hierdie risiko's ontwikkel. Reguleerders en aandeelhouers maak dit duidelik dat die ou model van aparte spanne wat kuberveiligheid, privaatheid en KI as afsonderlike domeine bestuur, nie meer werk nie.

KI het met merkwaardige spoed van direksiekamer-geleentheidsbesprekings na die risikofaktore-afdeling van jaarverslae gemigreer. Twee-en-sewentig persent van S&P 500-maatskappye openbaar nou wesenlike KI-risiko's, 'n styging van slegs 12 persent in 2023. Die bekommernisse wat hulle die meeste noem, is reputasieskade (38 persent van die maatskappye wat dit openbaar maak), implikasies vir kuberveiligheid en regulatoriese onsekerheid.

Raadsoorsig het gevolg. Volgens ISS-Korporatief, 31.6 persent van S&P 500-maatskappye het direksie-toesig oor KI in hul 2024-volmagtigingsverklarings bekend gemaak. Dit is 'n jaar-tot-jaar-toename van 84 persent.

Diegene wat nie sulke toesig instel nie, loop die risiko van wesenlike aandeelhouerskade, wat tot moontlike negatiewe stemaanbevelings kan lei. Verlede jaar het Glass Lewis, 'n volmagadviesfirma wat institusionele aandeelhouers adviseer oor hoe om te stem, nuwe maatstafriglyne uitgereik wat direk KI-bestuur aanspreek.

Die probleem met die afsonderlike bestuur van kuberveiligheid, privaatheid en KI is dat voorvalle wat verband hou met elkeen van hierdie in die ander invloei. 'n Enkele oortreding kan gelyktydig SEC-openbaarmakingsverpligtinge, GDPR-kennisgewingsvereistes, staatsprivaatheidswette en (indien persoonlike data 'n KI-stelsel opgelei het) opkomende KI-regulasies veroorsaak.

Die tyd het dus aangebreek om die oorweging van hierdie risikogebiede saam te voeg, maar niks hiervan is maklik nie. Volgens Volgens die Nasionale Vereniging van Korporatiewe Direkteure se Julie 2025-bestuursvooruitsigte is KI nou 'n roetine-onderwerp vir 61 persent van rade, maar min het dit behoorlik in bestuursstrukture geïntegreer.

Hoekom? Kulturele wrywing is een rede. Sekuriteits-, privaatheids- en KI-spanne het histories met verskillende woordeskat, risikoraamwerke en verslagdoeningstrukture gewerk.

Tegnologie-integrasie voeg nog 'n laag moeilikheid by; geïsoleerde GRC-instrumente skep gefragmenteerde benaderings tot risikobepaling, ouditdokumentasie en bewysinsameling. Begrotingsbeperkings dwing pynlike afwegings af tussen die bou van geïntegreerde infrastruktuur en die nakoming van onmiddellike voldoeningstermyne.

Standaardraamwerke bied 'n pad vorentoe

Die goeie nuus: groot standaardiseringsliggame het hierdie konvergensie verwag. ISO se hoëvlakstruktuur beteken dat ISO 27001 (inligtingsekuriteit), ISO 27701 (privaatheid) en die nuwer ISO 42001 (KI-bestuurstelsels) versoenbare argitekture deel, wat organisasies in staat stel om verenigde bestuurstelsels te bou eerder as parallelle burokrasieë.

Praktiese integrasie begin tipies met kruisfunksionele stuurkomitees wat privaatheids-, kuberveiligheid-, regs- en KI-verteenwoordigers insluit. Van daar af ontwikkel organisasies gedeelde risikotaksonomieë en (waar begrotings dit toelaat) verenigde GRC-platforms wat oorbodige assesserings uitskakel. Rolgrense vervaag reeds: volgens 'n IAPP- en EY-opname het 69 persent van hoof-privaatheidsbeamptes KI-bestuursverantwoordelikhede verkry.

Organisasies wat nie hul praktyke op hierdie manier ontwikkel nie, loop die risiko van regulatoriese blootstelling. Vir diegene wat dit wel doen, wag laer regulatoriese wrywing, verminderde ouditlas en sterker beleggersvertroue.

Danny Bradbury

Danny Bradbury is 'n gedrukte joernalis wat spesialiseer in tegnologie sedert 1989 en 'n vryskutskrywer sedert 1994. Hy het vir nasionale publikasies aan beide kante van die Atlantiese Oseaan geskryf en het toekennings gewen vir sy ondersoekende kuberveiligheidsjoernalistiekwerk.

Lees meer van Danny Bradbury

cyber Security 15 Januarie 2026

Van Perimetersekuriteit tot Identiteit as Sekuriteit

Jy kan deesdae nêrens na 'n sekuriteitsgebeurtenis kyk sonder om die frase 'nul vertroue' te sien nie. Dis 'n modewoord, nè?

Danny Bradbury

cyber Security 18 Desember 2025

hoe om deur die Amerikaanse KI-nakomingsdoolhofbanier te navigeer

Hoe om deur die Amerikaanse KI-nakomingsdoolhof te navigeer

Wanneer dit by regulering kom, is die term 'Verenigde State' 'n oksimoron. Staatswette is alles behalwe verenigd, met elke jurisdiksie wat tradisioneel...

Danny Bradbury

cyber Security 20 November 2025