Odată cu digitalizarea accelerată a economiei și a omenirii în general, securitatea cibernetică ocupă un rol din ce în ce mai important în toate aspectele vieții. În mod particular, în tranzacții de fuziuni și achiziții, faptul de a cunoaște în mod corect gradul de securitate cibernetică a societății absorbite sau achiziționate poate face diferența dintre o tranzacție de succes și o tranzacție păguboasă.
I. Tranzacțiile Marriott și Verizon
În acest sens, este deja notorie tranzacția din 2016 prin care Marriott a achiziționat lanțul hotelier Starwood Hotels and Resorts Worlwide (care deține branduri hoteliere premium precum Sheraton, Ritz Carlton, Autograph Collection), doar ca să descopere doi ani mai târziu, în 2018, încălcări ale securității datelor în baza de date a rezervărilor Starwood, începând din 2014.
Ca urmare a acestor breșe de securitate, Information Commissioner’s Office (ICO), agenția pentru protecția datelor din Marea Britanie, a amendat Marriott cu suma de 99,2 milioane de lire.
În considerarea aceleiași breșe de securitate, au urmat mai multe procese colective în Statele Unite ale Americii cu o expunere estimată la 12,5 miliarde de dolari (echivalentul a 25 de dolari per client afectat).
Cu alte cuvinte, breșa de securitate din 2014 a companiei achiziționate, nedescoperită sau nedezvăluită la momentul tranzacției a costat deja societatea cumpărătoare aproape 100 de milioane de lire și a expus-o la o răspundere suplimentară de 12,5 miliarde de dolari.
Într-o altă tranzacție, în 2016, Verizon a anunțat achiziția Yahoo pentru 4,83 miliarde de dolari. La câteva luni după acest anunț, Yahoo a dezvăluit că în 2013 și în 2014 au avut loc două încălcări a siguranței datelor tuturor celor 3 miliarde de conturi de utilizatori înregistrați.
În acest context, Verzion a analizat dacă să părăsească tranzacția (ca urmare a intervenirii unei schimbări semnificative - material adverse change), să renegocieze prețul sau să atragă răspunderea vânzătorilor pentru suportarea riscului breșei de securitate.
În final, Verizon a renegociat prețul cu 350 milioane de dolari mai puțin.
Prin urmare, securitatea cibernetică a companiilor este valoroasă, iar lipsa ei poate fi foarte costisitoare.
În același timp, securitatea cibernetică a companiilor este obligatorie în anumite situații:
II. Obligațiile de securitate cibernetică conform GDPR
În primul rând, conform art. 32 din Regulamentul General privind Protecția Datelor, operatorul și persoana împuternicită de acesta sunt obligați să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc.
În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul este obligat să notifice acest lucru autorității de supraveghere competente și, în anumite cazuri (când breșa de securitate este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice), persoana vizată.
Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea verificării implementării de către societatea vizată a măsurilor tehnice și organizatorice adecvate și verificării existenței eventualelor breșe de securitate care ar putea atrage în viitor răspunderea societății vizate.
III. Obligațiile de securitate cibernetică conform Directivei NIS
În al doilea rând, conform art. 25 din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, în vederea asigurării unui nivel comun de securitate a reţelelor şi sistemelor informatice, operatorii de servicii esenţiale şi furnizorii de servicii digitale au obligaţia de a respecta normele tehnice elaborate de Directoratul Național de Securitate Cibernetică (DNSC).
În cazul unui incident de securitate cibernetică care afectează operatorii de servicii esenţiale şi furnizorii de servicii digitale, acesta trebuie notificat către DNSC.
Serviciile esențiale în înțelesul Legii nr. 362/2018 sunt (i) energia (electricitate, petrol, gaze naturale), (ii) transportul (aerian, feroviar, rutier sau pe apă), (iii) sectorul bancar, (iv) piața financiară, (v) sănătatea, (vi) furnizarea și distribuirea de apă potabilă și (vii) infrastructura digitală.
Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea verificării respectării de către societatea vizată - operator de servicii esenţiale sau furnizor de servicii digitale - a normelor tehnice elaborate de DNSC și verificării eventualelor incidente de securitate cibernetică anterioare.
IV. Obligațiile de securitate cibernetică conform Directivei PSD2
În al treilea rând, conform art. 218 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prestatorii de servicii de plată sunt obligați să stabilească măsuri de diminuare şi mecanisme de control adecvate pentru a gestiona riscurile operaționale şi de securitate, legate de serviciile de plată pe care le oferă și să furnizeze Băncii Naționale a României anual, în forma solicitată de aceasta, o evaluare actualizată şi completă privind riscurile operaționale şi de securitate legate de serviciile de plată pe care le oferă.
În domeniul serviciilor de plată, necesitatea asigurării unui nivel ridicat de securitate cibernetică este de la sine înțeles, iar legea nu face altceva decât să o transpună într-o obligație pentru prestator.
Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea implementării de către societatea vizată - prestatoare de servicii de plată - a măsurilor de diminuare şi a mecanismelor de control adecvate pentru a gestiona riscurile operaţionale şi de securitate și verificării rapoartelor anulare furnizate BNR.
V. Bonus:Obligațiile de securitate cibernetică conform Directivei NIS2
În altă ordine de idei, în octombrie 2024 se împlinește termenul de transpunere în legislația națională a Directivei privind măsurile pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune (NIS2).
Directiva NIS2 extinde domeniului de aplicare al normelor în materie de securitate cibernetică la noi sectoare și entități (cum ar fi încălzirea centralizată și răcire centralizată, hidrogenul, apele uzate, furnizorii de servicii B2B, administrația publică centrală și locală, servicii spațiale).
Întreprinderile identificate de statele membre ca operatori de servicii esențiale în sectoarele menționate mai sus vor trebui să ia măsurile de securitate adecvate și să notifice autoritățile naționale relevante cu privire la incidentele grave.
De asemenea, principalii furnizori de servicii digitale, cum ar fi motoarele de căutare, serviciile de cloud computing și piețele online, vor trebui să respecte cerințele de securitate și de notificare prevăzute de directivă.
În esență, securitatea cibernetică va deveni obligatorie pentru tot mai multe categorii de companii, iar în cadrul unei tranzacții de fuziuni și achiziții, tratarea acestei componente va fi din ce în ce mai răspândită.
VI. Concluzii
Securitatea cibernetică este o problemă care trebuie verificată cu mare atenție în cadrul unei tranzacții de fuziuni și achiziții.
În toate cazurile în care societatea vizată intră sau va intra sub incidența Directivelor NIS, NIS2, PSD2, prelucrează date cu caracter personal la o scară largă, un proces de due diligence juridic și tehnic privind obligațiile pe care le are și modul de respectare a acestora este absolut necesar.
Practic, singurele cazuri în care nu se justifică necesitatea unei asemenea verificări sunt acelea unde societatea vizată nu are activitate, fiind una de tip holding sau de proiect pentru dobândirea unor active, cel mai adesea imobiliare.
În toate celelalte cazuri, verificarea rezilienței și conformității securității cibernetice este esențială și poate proteja investitorii de prejudicii însemnate în viitor.
Un articol semnat de Marius CHELARU, Managing Associate (mchelaru@stoica-asociatii.ro), STOICA & Asociații
