De Intercontinental Exchange (ICE), moederbedrijf van de New York Stock Exchange (NYSE), moet $10 miljoen boete betalen aan de Amerikaanse Securities and Exchange Commission (SEC). De reden? Het niet tijdig melden van een cyberinbraak.

In april 2021 ontdekte ICE dat kwaadaardige code in een VPN-apparaat toegang had verschaft tot hun bedrijfsnetwerk. Hoewel ICE snel in actie kwam, duurde het enkele dagen voordat ze hun dochterondernemingen, waaronder de NYSE, informeerden. Dit is tegen de regels van Regulation Systems Compliance and Integrity (Regulation SCI), die bedrijven verplicht om direct melding te maken van grote cybersecurity-incidenten.

Gurbir S. Grewal, directeur van de handhavingsafdeling van de SEC, benadrukte:

“Elke seconde telt bij cyberbeveiliging, vooral bij belangrijke marktspelers. Vier dagen is dan een eeuwigheid.”

ICE beheert een enorm netwerk van beurzen en clearing houses, waaronder de NYSE, ICE Futures U.S. en ICE Futures Europe. De boete raakt meerdere dochterondernemingen, zoals Archipelago Trading Services, NYSE American, NYSE Arca, ICE Clear Credit, ICE Clear Europe, NYSE Chicago en NYSE National.

Daarnaast kreeg de Securities Industry Automation Corporation een bevel om te stoppen met overtredingen, naast de financiële boete.

SEC-commissarissen Hester Peirce en Mark Uyeda noemden de boete een “overreactie” op een “klein incident”. Ze vinden de boete buitensporig en denken dat de SEC meer geïnteresseerd is in grote boetes dan in het verbeteren van technologische kwetsbaarheden. Dit voedt de kritiek op de SEC’s aanpak van crypto- en marktbedrijven.