Die US-Börsenaufsichtsbehörde Securities and Exchange Commission hat vor kurzem Regeln für die Offenlegung von Cybersecurity-Vorfällen und das Risikomanagement verabschiedet. Diese Regeln gelten zwar direkt für börsennotierte Unternehmen, aber jedes Unternehmen – ob börsennotiert oder privat -, das mit einem börsennotierten Unternehmen Geschäfte macht, muss sie beachten.

Die neuen Regeln verlangen von börsennotierten Unternehmen, dass sie für jeden Vorfall im Bereich der Cybersicherheit, der als wesentlich für die Anleger eingestuft wird, eine Offenlegung einreichen und die Art, den Umfang, den Zeitpunkt und die Auswirkungen (oder die wahrscheinlichen Auswirkungen) des Vorfalls auf das Unternehmen beschreiben. Punkt 1.05 des Formulars 8-K wird in der Regel innerhalb von vier Werktagen nach Feststellung eines Vorfalls als wesentlich fällig.

Im Jahresbericht müssen die Unternehmen ihre Prozesse zur Bewertung, Identifizierung und zum Management von Cybersicherheitsbedrohungen beschreiben. Sie müssen auch die Aufsicht und das Fachwissen des Vorstands bei der Bewertung und dem Management dieser Bedrohungen beschreiben.

Viele börsennotierte Unternehmen verfügen bereits über Prozesse und Verfahren zur Identifizierung von Cybersecurity-Vorfällen und zur Weitergabe der Informationen an die Stakeholder – auch wenn diese möglicherweise robuster sein müssen, um den neuen Regeln zu entsprechen. „Ich denke jedoch, dass Unternehmen und Investoren gleichermaßen davon profitieren würden, wenn diese Offenlegung in einer konsistenteren, vergleichbaren und entscheidungsnützlichen Weise erfolgen würde“, sagte der Vorsitzende der SEC, Gary Gensler. „Indem sie dazu beitragen, dass Unternehmen wesentliche Informationen zur Cybersicherheit offenlegen, werden die heutigen Regeln Anlegern, Unternehmen und den sie verbindenden Märkten zugute kommen.“

Jetzt vorbereiten

Die neuen Regeln werden größtenteils mit den Jahresberichten für Geschäftsjahre wirksam, die am oder nach dem 15. Dezember 2023 enden. Kleinere Unternehmen haben zusätzlich 180 Tage Zeit, um die Vorschriften zu erfüllen. Möglicherweise hat Ihr Unternehmen bereits ein Protokoll für den Umgang mit Cyberbedrohungen, aber die neuen Regeln verlangen, dass Ihre Prozesse und Schwellenwerte formalisiert und in Ihren Finanzberichten kommuniziert werden. Hier sind drei Schritte, die Sie jetzt unternehmen sollten:

1. Überprüfen Sie Ihre Cybersicherheitsrichtlinien und passen Sie sie gegebenenfalls an. Viele Unternehmen stufen Vorfälle bereits als hoch, mittel oder niedrig prioritär ein, basierend auf der Art der Informationen, die gefährdet sein könnten. Aber ein Vorfall mit hoher Priorität ist aus Sicht der SEC nicht zwangsläufig als „wesentlich“ einzustufen. Ein Vorfall, bei dem es um personenbezogene Daten geht, hätte beispielsweise hohe Priorität, würde aber nur dann als wesentlich gelten, wenn er sich auf die Anleger oder die Fähigkeit des Unternehmens auswirkt, zu arbeiten. Jedes Unternehmen muss für sich selbst definieren, was als wesentlich gilt, Standards für die Identifizierung dieser Cyberbedrohungen und -vorfälle festlegen und die Auswirkungen auf die Anleger kommunizieren.

2. Bewerten Sie die aktuellen Vorfälle und kategorisieren Sie sie als wesentlich/nicht wesentlich. Wenden Sie Ihre Wesentlichkeitsstandards an, um zu ermitteln, welche Vorfälle oder Beinahe-Vorfälle offengelegt werden sollten. Diese Offenlegung sollte eine Beschreibung der wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie seiner wesentlichen Auswirkungen oder der wahrscheinlichen wesentlichen Auswirkungen auf den Registranten, einschließlich seiner Finanzlage und seiner Betriebsergebnisse, enthalten. Sobald ein Cybersicherheitsvorfall als wesentlich eingestuft wird, haben Sie vier Geschäftstage Zeit, um ein Item 1.05 Formular 8-K einzureichen. Beachten Sie, dass Sie die Auswirkungen von zuvor mitgeteilten Cybersecurity-Vorfällen, die nun als wesentlich angesehen werden, offenlegen müssen.

3. Nehmen Sie Ihre Drittanbieter in die Pflicht, Ihre Cybersicherheitsstandards einzuhalten. Da ein Cybersicherheitsvorfall bei einem Dritten erhebliche Auswirkungen auf Ihr Unternehmen haben könnte, müssen Sie Ihre Lieferanten zur Einhaltung Ihrer Cybersicherheitsstandards verpflichten. Lieferanten, die börsennotierte Unternehmen sind, verfügen bereits über die meisten dieser Informationen für ihre eigenen Unterlagen. Bei privaten Unternehmen kann es jedoch sein, dass sie noch eine Menge Arbeit vor sich haben, bevor sie die benötigten Informationen bereitstellen können. Sie müssen einen Prozess zur Überprüfung von Cybersicherheitsvorfällen bei Ihren Dritten einrichten, um festzustellen, ob der Vorfall wesentlich ist und welche Auswirkungen er auf Ihre eigenen Angaben haben könnte.

Steigender Druck

Da es derzeit keinen Standard für die Bestimmung der Wesentlichkeit gibt, könnten Dritte gezwungen sein, für jeden ihrer Kunden unterschiedliche Parameter zu befolgen. Selbst für börsennotierte Unternehmen wird es eine Herausforderung sein, mit möglicherweise Hunderten von Protokollen Schritt zu halten. Dritte könnten sich dafür entscheiden, einfach dem strengsten Standard zu folgen. Dieser Ansatz könnte jedoch Kunden mit höheren Schwellenwerten überfordern.

Die zunehmende Abhängigkeit von Drittanbietern (einschließlich Cloud-Speicher) ist in der Tat einer der Faktoren, die die SEC als Ursache für den alarmierenden Anstieg der Kosten von Cybersicherheitsvorfällen ausgemacht hat. Weitere Faktoren, die zu den Kosten und der Häufigkeit von Vorfällen beitragen, sind die Digitalisierung von Abläufen, die Zunahme der Telearbeit und die Fähigkeit von Kriminellen, aus Cybersecurity-Vorfällen Profit zu schlagen – keine dieser Faktoren dürfte sich in absehbarer Zeit verringern.

Zwar haben sich die Informationen, die Unternehmen offenlegen, seit der Veröffentlichung der SEC-Richtlinien im Jahr 2011 etwas verbessert, doch die neuen Regeln werden für mehr Konsistenz und Klarheit sorgen, was berichtet wird, wie es berichtet wird und wann es berichtet wird. Investoren werden nun über nützliche Informationen verfügen, um die Gefährdung eines Unternehmens durch wesentliche Cybersicherheitsrisiken und seine Fähigkeit, Vorfälle zu bewältigen, zu bewerten. Und das ist sicherlich eine willkommene Nachricht.

Wenn Sie mehr über die Rationalisierung der Compliance erfahren möchten, laden Sie unser ebook herunter, Transforming Compliance from Check-the-Box to Championund sehen Sie sich Riskonnect’s Compliance-Software Lösung.