Secţiuni » Arii de practică » Business » Cyberlaw » Cybersecurity
Cybersecurity
CărţiProfesionişti
Banner BA-01
Banner BA-02
Articole Cyberlaw Cybersecurity Data protection Fuziuni și achiziții SELECTED

Securitatea cibernetică în fuziuni și achiziții

4 mai 2023 | Marius CHELARU
Marius Chelaru

Marius Chelaru

Odată cu digitalizarea accelerată a economiei și a omenirii în general, securitatea cibernetică ocupă un rol din ce în ce mai important în toate aspectele vieții. În mod particular, în tranzacții de fuziuni și achiziții, faptul de a cunoaște în mod corect gradul de securitate cibernetică a societății absorbite sau achiziționate poate face diferența dintre o tranzacție de succes și o tranzacție păguboasă.

I. Tranzacțiile Marriott și Verizon

În acest sens, este deja notorie tranzacția din 2016 prin care Marriott a achiziționat lanțul hotelier Starwood Hotels and Resorts Worlwide (care deține branduri hoteliere premium precum Sheraton, Ritz Carlton, Autograph Collection), doar ca să descopere doi ani mai târziu, în 2018, încălcări ale securității datelor în baza de date a rezervărilor Starwood, începând din 2014.

Ca urmare a acestor breșe de securitate, Information Commissioner’s Office (ICO), agenția pentru protecția datelor din Marea Britanie, a amendat Marriott cu suma de 99,2 milioane de lire.

În considerarea aceleiași breșe de securitate, au urmat mai multe procese colective în Statele Unite ale Americii cu o expunere estimată la 12,5 miliarde de dolari (echivalentul a 25 de dolari per client afectat).

Cu alte cuvinte, breșa de securitate din 2014 a companiei achiziționate, nedescoperită sau nedezvăluită la momentul tranzacției a costat deja societatea cumpărătoare aproape 100 de milioane de lire și a expus-o la o răspundere suplimentară de 12,5 miliarde de dolari.

Într-o altă tranzacție, în 2016, Verizon a anunțat achiziția Yahoo pentru 4,83 miliarde de dolari. La câteva luni după acest anunț, Yahoo a dezvăluit că în 2013 și în 2014 au avut loc două încălcări a siguranței datelor  tuturor celor 3 miliarde de conturi de utilizatori înregistrați.

În acest context, Verzion a analizat dacă să părăsească tranzacția (ca urmare a intervenirii unei schimbări semnificative – material adverse change), să renegocieze prețul sau să atragă răspunderea vânzătorilor pentru suportarea riscului breșei de securitate.

În final, Verizon a renegociat prețul cu 350 milioane de dolari mai puțin.

Prin urmare, securitatea cibernetică a companiilor este valoroasă, iar lipsa ei poate fi foarte costisitoare.

În același timp, securitatea cibernetică a companiilor este obligatorie în anumite situații:

II. Obligațiile de securitate cibernetică conform GDPR

În primul rând, conform art. 32 din Regulamentul General privind Protecția Datelor, operatorul și persoana împuternicită de acesta sunt obligați să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc.

În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul este obligat să notifice acest lucru autorității de supraveghere competente și, în anumite cazuri (când breșa de securitate este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice), persoana vizată.

Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea verificării implementării de către societatea vizată a măsurilor tehnice și organizatorice adecvate și verificării existenței eventualelor breșe de securitate care ar putea atrage în viitor răspunderea societății vizate.

III. Obligațiile de securitate cibernetică conform Directivei NIS

În al doilea rând, conform art. 25 din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, în vederea asigurării unui nivel comun de securitate a reţelelor şi sistemelor informatice, operatorii de servicii esenţiale şi furnizorii de servicii digitale au obligaţia de a respecta normele tehnice elaborate de Directoratul Național de Securitate Cibernetică (DNSC).

În cazul unui incident de securitate cibernetică care afectează operatorii de servicii esenţiale şi furnizorii de servicii digitale, acesta trebuie notificat către DNSC.

Serviciile esențiale în înțelesul Legii nr. 362/2018 sunt (i) energia (electricitate, petrol, gaze naturale), (ii) transportul (aerian, feroviar, rutier sau pe apă), (iii) sectorul bancar, (iv) piața financiară, (v) sănătatea, (vi) furnizarea și distribuirea de apă potabilă și (vii) infrastructura digitală.

Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea verificării respectării de către societatea vizată – operator de servicii esenţiale sau furnizor de servicii digitale – a normelor tehnice elaborate de DNSC și verificării eventualelor incidente de securitate cibernetică anterioare.

IV. Obligațiile de securitate cibernetică conform Directivei PSD2

În al treilea rând, conform art. 218 din Legea nr. 209/2019 privind serviciile de plată şi pentru modificarea unor acte normative, prestatorii de servicii de plată sunt obligați să stabilească măsuri de diminuare şi mecanisme de control adecvate pentru a gestiona riscurile operaționale şi de securitate, legate de serviciile de plată pe care le oferă și să furnizeze Băncii Naționale a României anual, în forma solicitată de aceasta, o evaluare actualizată şi completă privind riscurile operaționale şi de securitate legate de serviciile de plată pe care le oferă.

În domeniul serviciilor de plată, necesitatea asigurării unui nivel ridicat de securitate cibernetică este de la sine înțeles, iar legea nu face altceva decât să o transpună într-o obligație pentru prestator.

Principalele implicații ale obligațiilor de mai sus într-o tranzacție de fuziuni și achiziții sunt necesitatea implementării  de către societatea vizată –  prestatoare de servicii de plată – a măsurilor de diminuare şi a mecanismelor de control adecvate pentru a gestiona riscurile operaţionale şi de securitate și verificării rapoartelor anulare furnizate BNR.

V. Bonus: Obligațiile de securitate cibernetică conform Directivei NIS2

În altă ordine de idei, în octombrie 2024 se împlinește termenul de transpunere în legislația națională a Directivei privind măsurile pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune (NIS2).

Directiva NIS2 extinde domeniului de aplicare al normelor în materie de securitate cibernetică la noi sectoare și entități (cum ar fi încălzirea centralizată și răcire centralizată, hidrogenul, apele uzate, furnizorii de servicii B2B, administrația publică centrală și locală, servicii spațiale).

Întreprinderile identificate de statele membre ca operatori de servicii esențiale în sectoarele menționate mai sus vor trebui să ia măsurile de securitate adecvate și să notifice autoritățile naționale relevante cu privire la incidentele grave.

De asemenea, principalii furnizori de servicii digitale, cum ar fi motoarele de căutare, serviciile de cloud computing și piețele online, vor trebui să respecte cerințele de securitate și de notificare prevăzute de directivă.

În esență, securitatea cibernetică va deveni obligatorie pentru tot mai multe categorii de companii, iar în cadrul unei tranzacții de fuziuni și achiziții, tratarea acestei componente va fi din ce în ce mai răspândită.

VI. Concluzii

Securitatea cibernetică este o problemă care trebuie verificată cu mare atenție în cadrul unei tranzacții de fuziuni și achiziții.

În toate cazurile în care societatea vizată intră sau va intra sub incidența Directivelor NIS, NIS2, PSD2, prelucrează date cu caracter personal la o scară largă, un proces de due diligence juridic și tehnic privind obligațiile pe care le are și modul de respectare a acestora este absolut necesar.

Practic, singurele cazuri în care nu se justifică necesitatea unei asemenea verificări sunt acelea unde societatea vizată nu are activitate, fiind una de tip holding sau de proiect pentru dobândirea unor active, cel mai adesea imobiliare.

În toate celelalte cazuri, verificarea rezilienței și conformității securității cibernetice este esențială și poate proteja investitorii de prejudicii însemnate în viitor.

Av. Marius Chelaru, Managing Associate STOICA & Asociații

Urmăriţi JURIDICE.ro şi pe LinkedIn LinkedIn JURIDICE.ro WhatsApp WhatsApp Channel JURIDICE Threads Threads JURIDICE Google News Google News JURIDICE

(P) JURIDICE.ro foloseşte şi recomandă SmartBill.

 
Homepage J JURIDICE   Cariere   Evenimente   Dezbateri   Profesionişti   Lawyers Week   Video
 
Drepturile omului
Energie
Fiscalitate
Fuziuni & Achiziţii
Gambling
Health & Pharma
Infrastructură
Insolvenţă
Malpraxis medical
Media & publicitate
Mediere
Piaţa de capital
Procedură civilă
Procedură penală
Proprietate intelectuală
Protecţia animalelor
Protecţia consumatorilor
Protecţia mediului
Sustenabilitate
Recuperare creanţe
Sustenabilitate
Telecom
Transporturi
Drept maritim
Parteneri ⁞ 
Specialişti
Arii de practică
Business ⁞ 
Litigation ⁞ 
Protective
Achiziţii publice
Afaceri transfrontaliere
Arbitraj
Asigurări
Banking
Concurenţă
Construcţii
Contencios administrativ
Contravenţii
Corporate
Cyberlaw
Cybersecurity
Data protection
Drept civil
Drept comercial
Drept constituţional
Drept penal
Dreptul penal al afacerilor
Dreptul familiei
Dreptul muncii
Dreptul Uniunii Europene
Dreptul sportului
Articole
Essentials
Interviuri
Opinii
Revista de note şi studii juridice ISSN
Note de studiu ⁞ 
Studii
Revista revistelor
Autori ⁞ 
Publicare articole
Jurisprudenţă
Curtea Europeană a Drepturilor Omului
Curtea de Justiţie a Uniunii Europene
Curtea Constituţională a României
Înalta Curte de Casaţie şi Justiţie
Dezlegarea unor chestiuni de drept
Recurs în interesul legii
Jurisprudenţă curentă ÎCCJ
Curţi de apel
Tribunale
Judecătorii
Legislaţie
Proiecte legislative
Monitorul Oficial al României
Jurnalul Oficial al Uniunii Europene
Flux noutăţi
Selected
Comunicate
Avocaţi
Executori
Notari
Sistemul judiciar
Studenţi
RSS ⁞ 
Publicare comunicate
Proiecte speciale
Cărţi
Condoleanţe
Covid-19 Legal React
Creepy cases
Life
Povestim cărţi
Poveşti juridice
Războiul din Ucraina
Wisdom stories
Women in Law

Servicii J JURIDICE   Membership   Catalog   Recrutare   Talent Search   Comunicare   Documentare   Evenimente   Website   Logo   Foto   Video   Partnership