SEC schlägt Cybersicherheitsregeln vor

Am 13. März 2023 legte die US-Börsenaufsichtsbehörde (SEC) neue Cybersicherheitsregeln und -anforderungen für alle Marktteilnehmer vor, um Risiken zu begegnen. Zu den vorgeschlagenen Regelungen gehörten aktualisierte Anforderungen für Formular 8-K Berichterstattung sowie neue Leitlinien für Änderungen des Formulars 10-K. 

Nach der vorgeschlagenen Regelung zur Meldung von Verstößen im Formular 8-K müssen Unternehmen diese innerhalb von vier Tagen nach dem Vorfall melden. Alle Vorfallsberichte müssen fünf dokumentierte Fragen und Antworten enthalten, deren Antworten so detailliert sein müssen, dass ein “vernünftiger Anleger” Einblick in den Vorfall erhält. Die folgenden Fragen sind gemäß den vorgeschlagenen Regelungen für alle Vorfallsmeldungen im Formular 8-K erforderlich:

1. Wann wurde der Vorfall entdeckt und ob er noch andauert?.
2. Eine kurze Beschreibung von Art und Umfang des Vorfalls.
3. Ob Daten gestohlen, verändert, abgerufen oder für andere unbefugte Zwecke verwendet wurden.
4. Die Auswirkungen des Vorfalls auf die Geschäftstätigkeit des Registranten.
5. Ob der Registrant den Vorfall behoben hat oder derzeit behebt.

Die Beantwortung der erforderlichen Fragen unter Vermeidung allzu technischer Details wird dazu beitragen, dass die Gespräche über Cybersicherheitsrisiken für alle am Unternehmen beteiligten Parteien zugänglicher werden.

Richtlinien und Verfahren für das Cyberrisikomanagement 

Darüber hinaus forderte der SEC-Vorschlag die Aufnahme spezifischer Richtlinien und Verfahren zum Management der Cybersicherheit in die Nachträge zum Formular 10-K. Die in Formular 10-K enthaltenen Richtlinien und Verfahren zu Cybersicherheitsrisiken sollten so verständlich wie möglich sein, um die Einbindung sowohl der Geschäftsleitung als auch des Aufsichtsrats zu ermöglichen. Dieser zusätzliche Cybersicherheitszusatz zu Formular 10-K ist auch deshalb wichtig, weil er die Regulierung der Cybersicherheitsprotokolle eines Unternehmens transparenter macht. 

In den letzten zehn Jahren haben Cyberangriffe zu einem der größten Risiken für Unternehmen aller Branchen und Sektoren geworden. Tatsächlich wird dieses Risiko in Zukunft voraussichtlich noch zunehmen. In einer Umfrage aus dem Jahr 2019, 200 der größten globalen Unternehmen stuften Cybersicherheit als die größte Bedrohung für ihr eigenes Geschäftswachstum und das Wachstum der Weltwirtschaft im nächsten Jahrzehnt ein. Die SEC entwickelte die vorgeschlagenen Regelungen mit dem Ziel, die Offenlegungspflichten im Bereich Cybersicherheitsrisikomanagement und Vorfallsmeldung zu standardisieren, da diese Themen zunehmend zum Standard in allen Organisationen werden.

Tipps zum Aufbau einer risikobewussten Kultur

Sollte der SEC-Vorschlag umgesetzt werden, müssen Unternehmen auf einen umfassenden Incident-Response-Prozess vorbereitet sein. Die Sicherheit des Unternehmens liegt nicht allein in der Verantwortung des Chief Information Security Officer (CISO), des Sicherheits- und IT-Teams. Alle Mitarbeiter müssen geschult sein und potenzielle Bedrohungen aufmerksam erkennen. Es ist wichtig, dass alle Mitarbeiter wissen, wann sie bei einem möglichen Sicherheitsvorfall – egal wie geringfügig – Alarm schlagen müssen, um die Einhaltung der SEC-Vorschriften zu gewährleisten. Die Sensibilisierung für Cybersicherheitsrisiken im gesamten Unternehmen trägt wesentlich zur Sicherheit bei, da nahezu jedes Team mit Daten arbeitet, die das Unternehmen gefährden könnten. 

Um die Diskussion über ein so wichtiges Thema am Laufen zu halten, ist der Einsatz der richtigen Werkzeuge, wie beispielsweise CNAPP, hilfreich. Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), Dies ermöglicht es dem CISO, die Risikolage des Unternehmens gegenüber der Geschäftsleitung und dem Aufsichtsrat so darzustellen, dass eine gemeinsame Sprache für den Dialog geschaffen wird. Die regelmäßige Einbindung der Unternehmensführung in die Gespräche – nicht nur nach einem Vorfall – kann helfen, Budget und Transparenz so zu steuern, dass wichtige Lücken geschlossen werden und somit Sicherheitsvorfälle wie Datenlecks künftig verhindert werden können. Cybersicherheitsrisiken sind heutzutage ein fester Bestandteil des Geschäftslebens. Durch die Einhaltung aller Vorschriften, den Einsatz geeigneter Automatisierungstools und die regelmäßige Diskussion über Cybersicherheit ist es jedoch möglich, ein Unternehmen zu schützen.