Veranderende verwachtingen op het gebied van cyberbeveiliging voor Amerikaanse olie- en gasbedrijven – Beveiliging

Cyberrisico’s voor de olie- en gasindustrie blijven toenemen.
Ook de wettelijke vereisten blijven toenemen. De cyberbeveiligingsrichtlijnen die de Transportation Safety Administration (TSA) in 2021 en 2022 uitvaardigt, bijvoorbeeld;
Transportation Safety Administration (TSA) in 2021 en 2022, bijvoorbeeld
bijvoorbeeld nieuwe eisen gesteld aan bepaalde olie- en gas
pijpleidingen, waaronder nieuwe rapportageverplichtingen voor incidenten en
vereiste kwetsbaarheidsbeoordelingen.

De Cyber Incident Reporting for Critical
Infrastructure Act van 2022 (CIRCIA) en de door de Securities and
Exchange Commission (SEC) voorgestelde regel om openbare bedrijven te verplichten
materiële incidenten binnen vier werkdagen bekend te maken beloven
verdere verandering. Bovendien is de Nationale Cyberbeveiligingsstrategie
(Strategie) die onlangs door de regering-Biden is uitgebracht,
het versterken van de cyberveiligheid van de kritieke infrastructuur van de VS een top
prioriteit. De nadruk wordt gelegd op meer overheidsregulering en
particuliere sector om de wettelijke
verwachtingen voor bedrijven, zou de strategie van de regering-Biden
mogelijk aanzienlijke gevolgen hebben voor de olie- en gas
sector, vooral als het Congres wetgeving aanneemt die de regelgevende bevoegdheden uitbreidt;
regelgevende instanties.

Kortom, er liggen nog meer veranderingen in het verschiet. Maar wat betekent dit
betekent dit voor bedrijven in de olie- en gasindustrie? Hoewel het
onmogelijk om precies te voorspellen hoe beleidsmakers de
eisen op het gebied van cyberbeveiliging in de toekomst zullen vormen, zullen leiders in de olie- en
gassector baat hebben bij het begrijpen van drie belangrijke trends: ten eerste,
een verschuiving naar het eerder melden en openbaar maken van cyber
incidenten; ten tweede, een toename in overheidstoezicht en
regulering van cyberbeveiliging binnen de sector; en ten derde, een
meer aandacht voor cybergovernance, ook door de raad van bestuur van bedrijven
raden van bestuur.

In dit artikel vatten we samen hoe deze trends olie
en gasbedrijven in de komende jaren en beschrijven we stappen die bedrijven
kunnen nemen om de curve voor te blijven.

Eerdere rapportage & Openbaarmaking van cyber
Incidenten

TSA heeft de eisen voor het melden van cyberincidenten aanzienlijk uitgebreid
in de olie- en gasindustrie aanzienlijk uitgebreid toen het van cruciale
eigenaren en exploitanten om elk cyberincident op de netwerkinfrastructuur van een
netwerkinfrastructuur van een pijplijn te melden aan het ministerie van Binnenlandse
Security’s Cybersecurity and Infrastructure Security Agency
(CISA) binnen 12 uur na identificatie. Beleidsmakers
niet stoppen.

De twee eisen die hieronder worden besproken, zullen ook
deze trend naar het eerder melden van incidenten
aan overheidsinstanties en, in sommige gevallen, openbare onthulling van cyberincidenten;
cyberincidenten. Als gevolg van deze en andere op handen zijnde veranderingen,
moet een breed scala aan Amerikaanse olie- en gasbedrijven verwachten
dat ze bepaalde cyberincidenten moeten melden en mogelijk openbaar moeten maken
in de komende jaren.

In 2022 breidde het Congres het melden van cyberincidenten
aan de federale overheid met CIRCIA. Dat statuut vereist
betrokken entiteiten om bepaalde substantiële cyberincidenten binnen
CISA binnen 72 uur. Betrokken entiteiten moeten ook
binnen 24 uur alle losgeldbetalingen bekendmaken.

De exacte reikwijdte en mechanica van deze vereisten zullen worden
worden vastgesteld in een regelgevingsproces onder leiding van de directeur van
CISA- een proces dat uitgebreide opmerkingen van de industrie
reactie op een verzoek om informatie in september 2022. Sommige van
deze opmerkingen van de industrie werd aanbevolen dat CISA alleen betrekking zou hebben op de meest
kritieke infrastructuur en de ernstigste incidenten in de
komende regel.

De toon van de Nationale Cyberbeveiligingsstrategie lijkt
lijkt er echter op te wijzen dat de regering Biden
CIRCIA ruim interpreteert, zodat het een brede groep incident
die door een brede groep bedrijven worden ervaren. Hoewel de implementatie
tijdlijn in CIRCIA betekent dat een definitieve regel waarschijnlijk pas over minstens een jaar in werking zal treden;
waarschijnlijk pas over een paar jaar van kracht wordt, moeten olie- en gasbedrijven
bedrijven niet overvallen worden als het zover is.

Het openbaar maken van cyberrisico’s en cyberincidenten
aan investeerders is al meer dan tien jaar een aandachtspunt van de Securities and Exchange
Commissie al meer dan tien jaar. Na eerder richtlijnen te hebben uitgegeven,
heeft de SEC in maart 2022 de volgende stap gezet door een regel voor te stellen
die beursgenoteerde bedrijven zou verplichten om
cyberbeveiligingsincidenten openbaar te maken op een formulier 8-K binnen vier werkdagen na
vaststelling dat het incident “materieel” is.

Deze voorgestelde regel leidde tot veel bezorgdheid bij
belanghebbenden over de werkbaarheid en onbedoelde gevolgen. Bijvoorbeeld
Zo drongen veel belanghebbenden uit verschillende sectoren er bij de SEC op aan om
toe te staan dat de openbaarmaking van incidenten wordt uitgesteld wanneer openbaarmaking
wetshandhavingsonderzoeken zou schaden, de nationale
veiligheid in gevaar zou brengen, of anderszins ernstige negatieve gevolgen zou hebben voor het
slachtoffer of derden. Het valt nog te bezien hoe de SEC
de opmerkingen die zij heeft ontvangen, zal oplossen. Ervan uitgaande dat de SEC
met een definitieve regel die ongeveer overeenkomt met het voorstel,
moeten beursgenoteerde olie- en gasbedrijven zich voorbereiden op vroeg geopenbaarde cyberincidenten;
openbare bekendmaking van cyberincidenten.

In de praktijk zal deze trend naar vroeg
rapportering en mogelijk openbaarmaking – vereist dat
relevante bedrijven om procedures te hanteren waarmee ze
snel en adequaat de cyberincidenten waarmee ze te maken hebben kunnen beoordelen en
vervolgens nauwkeurige informatie te verstrekken aan belangrijke interne besluitvormers
zodat zij kunnen bepalen of kennisgeving of openbaarmaking
nodig is. Bedrijven die geen goed gedefinieerde interne
procedures hebben om te reageren op cyberincidenten waarbij hun
juridische adviseurs erbij betrekken en belangrijke beslissingen doorverwijzen naar uitvoerende belanghebbenden
zullen waarschijnlijk moeite hebben om aan de toekomstige eisen te voldoen en
de gevolgen van het melden of openbaar maken van incidenten.

Als gevolg hiervan zullen olie- en gasbedrijven waarschijnlijk baat hebben bij
het evalueren en oefenen van hun incidentenbestrijdingsbeleid,
vooral nadat er meer duidelijkheid is over de reikwijdte en
inhoud van toekomstige regelgeving.

Toename overheidstoezicht & regelgeving

De Nationale Cyberveiligheidsstrategie geeft prioriteit aan het vaststellen
cyberbeveiligingseisen voor kritieke infrastructuur. Daartoe
daartoe legt de strategie uit dat de “federale overheid gebruik zal
bestaande autoriteiten zal gebruiken om noodzakelijke cyberbeveiligings
eisen te stellen aan cyberbeveiliging in kritieke sectoren.” De strategie legt verder
dat de regering met het Congres zal samenwerken om
gaten in bestaande autoriteiten te dichten. En verder wordt uitgelegd dat
“[w]hier staten of onafhankelijke regelgevende instanties autoriteiten
die kunnen worden gebruikt om cyberbeveiligingsvereisten vast te stellen, zal de
regering hen aanmoedigen om die bevoegdheden op een
weloverwogen en gecoördineerde manier.”

Hoewel het moeilijk te voorspellen is hoe het Congres en de
regeringen deze doelen zullen zien, is het duidelijk dat veel beleids
leiders de zorgen over cyberbedreigingen voor de energie
infrastructuur. Slechts enkele weken nadat de regering
strategie aankondigde, hield de Senaatscommissie voor energie en natuurlijke hulpbronnen
commissie een hoorzitting gehouden om de kwetsbaarheden
kwetsbaarheden in de Amerikaanse energie-infrastructuur te onderzoeken. Tijdens die hoorzitting getuigden de
getuigen over de verschuiving in het landschap van cyberdreigingen en
de noodzaak van gezamenlijke actie, ook van de federale
overheid om een steeds groter wordende dreiging aan te pakken.

Om deze problemen aan te pakken, zullen de regering Biden en
gelijkgestemde staten waarschijnlijk beschikbare acties ondernemen om de
waargenomen gaten in het overheidstoezicht te dichten. Een recent rapport van de Government Accountability Office
(GAO) over de cyberveiligheid van offshore olie- en gasinstallaties
een voorbeeld van een gebied waarop de overheid mogelijk actie zal ondernemen;
aanstaande is. Ook wetgeving in de staat New York kan een
voorbeeld zijn van hoe staatsoverheden zullen proberen om cyberbeveiligings praktijken binnen de industrie te sturen;
praktijken binnen de industrie.

Samen suggereren deze voorbeelden dat meer overheidstoezicht
toezicht en mogelijk directe regulering van
cyberbeveiliging in de olie- en gasindustrie waarschijnlijk in het verschiet ligt.

GAO-studie over offshore olie & gas
Cyberbeveiliging

GAO’s rapport van oktober 2022 beschreef offshore-infrastructuur
als bedreigd door een breed scala aan cybercriminelen,
hackers en statelijke actoren. Gezien deze bedreigingen en kwetsbaarheden
in kritieke systemen, waaronder operationele technologie (OT), concludeerde GAO
geconcludeerd dat een aanval aanzienlijke fysieke,
milieu en economische schade kan veroorzaken en dat verstoringen van de olie- en
gasproductie en -transmissie in de nasleep van een cyberaanval
directe gevolgen kunnen hebben voor de wereldwijde voorraden en markten. GAO
riep het Bureau of Safety and Environmental Enforcement
(BSEE), een agentschap binnen het ministerie van Binnenlandse Zaken, om
onmiddellijk een cyberbeveiligingsstrategie te ontwikkelen en te implementeren voor
offshore olie- en gasinstallaties.

Het valt nog te bezien hoe BSEE precies te werk zal gaan en
welke implicaties dit zal hebben voor olie- en gasbedrijven.
In het licht van de Nationale Cyber Strategie moeten bedrijven
waarschijnlijk verwachten dat de regering Biden de beschikbare
om veranderingen in cyberbeveiligingspraktijken in offshore-installaties te stimuleren,
en andere gebieden die volgens de regering zelf
die niet onderhevig zijn aan relevante cyberbeveiligingsvereisten.

Bedrijven die momenteel onderworpen zijn aan beperkte regelgeving op
op dit gebied zullen er dus waarschijnlijk baat bij hebben om in gesprek te gaan met de
regering Biden over mogelijke beleidsbenaderingen en specifieke
voorstellen om ervoor te zorgen dat de gekozen aanpak daadwerkelijk de
cyberbeveiliging daadwerkelijk verbeteren en geen onbedoelde gevolgen hebben. Tegelijkertijd
tegelijkertijd zullen dergelijke bedrijven waarschijnlijk baat hebben bij het bestuderen van regelgevende
voorschriften of richtlijnen in aanverwante sectoren, evenals relevante best practices in de sector;
relevante best practices in de sector. Hoewel het niet wettelijk verplicht is, is het bevestigen dat
hun cyberbeveiligingsbeheerprogramma’s over het algemeen overeenstemmen met
deze richtlijnen zal een olie- en gasbedrijf waarschijnlijk helpen
op toekomstige regelgeving of richtlijnen die rechtstreeks op haar
bedrijf.

Actie op staatsniveau

Recente actie in de staat New York kan een indicatie geven van hoe
staatswetgevers en regelgevende instanties kunnen wegen op cyberbeveiliging in
de olie- en gasindustrie. Daar ondertekende gouverneur Kathy Hochul wetgeving (A.3904B/S.5579A) die het toezicht op
cyberbeveiligingstoezicht op de energie-industrieën van New York aan het
eind 2022.

De nieuwe wet zorgt er onder andere voor dat de Public
Service Commission, die de energie
industrieën van New York reguleert, meer controlebevoegdheden krijgt. Dit omvat de
bevoegdheid om “een jaarlijkse audit van gasbedrijven en
elektriciteitsbedrijven met betrekking tot de toereikendheid van beleid, protocollen, procedures en
beleid, protocollen, procedures en bescherming.” De wet,
naast andere bepalingen, vereist ook dat nutsbedrijven zich
op cyberaanvallen als onderdeel van hun jaarlijkse reactieplannen en geeft de opdracht
de Public Service Commission om regels op te stellen die gas
bedrijven en elektriciteitsbedrijven verplichten capaciteiten te ontwikkelen en te implementeren
mogelijkheden ontwikkelen en implementeren om ongeautoriseerde netwerkactiviteiten te detecteren.

De actie van New York sluit aan bij de
belangstelling van staten voor het vaststellen van minimumvereisten voor cyberbeveiliging
eisen voor kritieke infrastructuur. Hoeveel andere staten
zullen volgen, valt nog te bezien. Olie- en gasbedrijven
moeten zich echter voorbereiden op meer acties op staatsniveau, vergelijkbaar met die in
New York, vooral in staten waar zich belangrijke olie- en gas infrastructuur bevindt;
infrastructuur ligt. Net als op federaal niveau moeten we deze
voorstellen volgen en effectief samenwerken met wetgevers en
wetgevers en regelgevende instanties zal er waarschijnlijk toe bijdragen dat toekomstige vereisten zowel efficiënter
effectiever en praktischer te maken.

Meer aandacht voor governance

Effectieve cyberbeveiliging vereist een sterke samenwerking tussen
technische belanghebbenden, veiligheidsteams, juridische, communicatie- en
andere functies. Sterke cyberbeveiligingsprogramma’s zijn meestal
gedocumenteerd in passend beleid en procedures, en het toezicht wordt
uitgevoerd door senior executives en de raad van bestuur.
De verwachtingen rond deze best practices op het gebied van governance
snel toe.

De verwachte herziening van het NIST Cybersecurity Framework
zal bijvoorbeeld een nieuwe “Govern”-functie introduceren, en
de door de SEC voorgestelde regel met betrekking tot openbaarmakingen over cyberbeveiliging door
registranten zou governance benadrukken in de vereiste openbaarmakingen.
Olie- en gasbedrijven moeten verwachten dat deze focus op governance
de komende maanden en jaren zal blijven groeien, en hun
en hun eigen aanpak van cyberrisicobeheer en -toezicht dienovereenkomstig verfijnen.

NIST Framework v.2.0

Het Framework for Improving Critical Infrastructure
Cybersecurity, in 2014 uitgegeven door het National Institute for
Standards and Technology (NIST), is een breed gebruikte tool
voor het beheren van cyberrisico’s voor onder andere olie- en gasbedrijven.
Na in 2018 beperkte updates van dit framework te hebben gemaakt, verwacht NIST nu
verwacht meer inhoudelijke herzieningen te maken in een aankomende
versie 2.0.

Daartoe heeft NIST in januari 2023 een conceptdocument uitgebracht waarin de voorgenomen aanpak wordt beschreven en waarin het publiek om commentaar wordt gevraagd;
en het publiek om commentaar verzocht. Deze concept paper benadrukte
de intentie van NIST om governance in versie 2.0 te benadrukken, door het te
in een nieuwe “Govern”-functie die zich bij de
bestaande vijf functies – identificeren, beschermen, detecteren, reageren
en herstellen.

Volgens NIST zal deze “nieuwe transversale functie
benadrukken dat cyberbeveiligingsgovernance van cruciaal belang is voor het beheren en
risico’s op het gebied van cyberbeveiliging te beperken.” Deze functie “kan omvatten
het bepalen van prioriteiten en risicotoleranties van de
organisatie, klanten en grotere samenleving; beoordeling van
cyberbeveiligingsrisico’s en -effecten; vaststellen van cyberbeveiligings
beleid en procedures; en inzicht in de rollen en verantwoordelijkheden op het gebied van cyberbeveiliging;
en verantwoordelijkheden.”

NIST legt uit dat deze “activiteiten cruciaal zijn voor
identificeren, beschermen, detecteren, reageren en herstellen
in de hele organisatie, alsmede bij het toezicht houden op anderen die
uitvoeren van cyberbeveiligingsactiviteiten voor de organisatie, inclusief binnen de toeleveringsketen van een organisatie;
de toeleveringsketen van een organisatie.” In de
schatting, zou het verheffen van governance tot een functie “ook
de afstemming van cyberbeveiligingsactiviteiten op bedrijfsrisico s en wettelijke vereisten bevorderen;
en wettelijke vereisten.”

Kortom, olie- en gasbedrijven – waarvan er veel al lang
het NIST Cybersecurity Framework hebben gebruikt – zouden moeten verwachten
dat governance een kernonderdeel van hun cyberbeveiligings
programma’s in de toekomst, zo niet nu al. Daartoe zouden olie- en gas
bedrijven er goed aan doen om te bevestigen dat bestaand beleid
en procedures en andere governance-instrumenten voldoende gericht zijn op de
governance-doelen die door NIST worden genoemd.

Regelgeving SEC

De voorgestelde cyberbeveiligingsregel van de SEC benadrukt ook
cyberbeveiligingsbeheer. Het zou gedetailleerde openbaarmakingen vereisen
over: beleid en procedures, indien aanwezig, voor het identificeren en
risico’s op het gebied van cyberbeveiliging en het cyberbeveiligings
bestuur; de rol van de raad van bestuur in het toezicht op
cyberbeveiligingsrisico’s; en de rol van het management bij het
cyberbeveiligingsrisico’s en de implementatie van het
cyberbeveiligingsbeleid en -procedures van het bedrijf.

Een registrant zou bijvoorbeeld moeten uitleggen:

• Of de registrant een risicobeoordelingsprogramma voor cyberbeveiliging heeft
  programma voor risicobeoordeling van cyberbeveiliging heeft, en zo ja, geef een beschrijving van dit programma.




• hetzij de gehele raad, specifieke bestuursleden of een bestuurs
  commissie verantwoordelijk is voor het toezicht op de risico’s van cyberbeveiliging;
  en hoe de raad wordt geïnformeerd over risico’s op het gebied van cyberbeveiliging, en de
  frequentie van de discussies over dit onderwerp.




• Of en hoe het bestuur cyberbeveiligingsrisico’s beschouwt als onderdeel
  van zijn bedrijfsstrategie, risicobeheer en financieel
  toezicht.

Bovendien zou een registrant volgens de voorgestelde regel
verplicht om bekend te maken of een lid van de raad van bestuur deskundig is op het gebied van cyberbeveiliging
deskundigheid op het gebied van cyberbeveiliging heeft, en zo ja, de aard van die deskundigheid.

Hoewel de details van een eventuele definitieve regel nog moeten worden afgewacht, bevestigt de
SEC bevestigt de aanpak van de SEC de toenemende verwachtingen voor
governance van cyberrisico’s door registranten. Olie- en gas
bedrijven, zelfs als het geen beursgenoteerde
bedrijven zijn, zullen er goed aan doen hun eigen cyber
bestuurspraktijken te evalueren en te bevestigen dat hun senior leiders
effectief toezicht houden.

Conclusie

De verwachtingen op het gebied van cyberbeveiliging voor Amerikaanse olie- en gasbedrijven zijn
de afgelopen jaren toegenomen en verdere verandering is op komst.
Bedrijven moeten in gesprek gaan met beleidsmakers om ervoor te zorgen dat toekomstig
beleid de cyberbeveiliging van de industrie effectief bevordert. VS
olie- en gasbedrijven zijn over het algemeen ook gebaat bij
te anticiperen op drie belangrijke trends:

• eerder verplichte melding of openbaarmaking van cyber
  incidenten.




• Meer overheidstoezicht op of regulering van cyberbeveiliging
  praktijken.




• Verhoogde verwachtingen voor cybergovernance.

Hoewel de details van toekomstige cyberbeveiligingsverwachtingen voor de
industrie nog te bezien zijn, zal het begrijpen van en reageren op deze
drie trends zullen Amerikaanse olie- en gasbedrijven in staat zijn om de juridische, financiële en reputatierisico’s in verband met de vele
juridische, financiële en reputatierisico’s te beheersen die samenhangen met de vele
cyberbedreigingen waarmee ze te maken hebben.

Oorspronkelijk gepubliceerd door Bloomberg Industry Group, Inc. Juni
2023.

Bezoek ons op
mayerbrown.nl

Mayer Brown is een wereldwijde dienstverlener die bestaat uit
geassocieerde juridische praktijken die afzonderlijke entiteiten zijn, waaronder ;
Mayer Brown LLP (Illinois, VS), Mayer Brown International LLP
(Engeland & Wales), Mayer Brown (een partnerschap in Hong Kong) en
Tauil & Chequer Advogados (een Braziliaans advocatenkantoor) en
niet-juridische dienstverleners, die consultancydiensten
(gezamenlijk de “Mayer Brown Praktijken”). De Mayer
Brown Practices zijn gevestigd in verschillende rechtsgebieden en kunnen
een rechtspersoon of een partnerschap zijn. PK Wong & Nair LLC
(“PKWN”) is de samenstellende Singaporese advocatenpraktijk van onze
gelicentieerde joint venture in Singapore, Mayer Brown PK Wong &
Nair Pte. Ltd. Details van de individuele Mayer Brown praktijken en
PKWN zijn te vinden in de sectie Juridische Kennisgevingen van onze website.
“Mayer Brown” en het Mayer Brown logo zijn de handelsmerken
van Mayer Brown.

© Copyright 2023. De Mayer Brown praktijk. Alle rechten
voorbehouden.

Dit
Mayer Brown artikel geeft informatie en commentaar over juridische
kwesties en ontwikkelingen van belang. Het voorgaande is geen
alomvattende behandeling van het behandelde onderwerp en is niet
bedoeld om juridisch advies te geven. Lezers moeten specifiek
juridisch advies inwinnen alvorens enige actie te ondernemen met betrekking tot de hierin
die hierin worden besproken.