Neue SEC-Vorschriften zur Cybersicherheit für börsennotierte Unternehmen
Die neuen SEC-Regeln verlangen die unverzügliche Meldung von Vorfällen, eine klare Berichterstattung zu Richtlinien und Verfahren im Cyber-Risikomanagement und eine stärkere Einbindung der Vorstandsebene.
Details
Im Juli 2023 veröffentlichte die US-Börsenaufsicht SEC (Securities and Exchange Commission) neue Offenlegungsvorschriften im Bereich Cybersicherheit für börsennotierte Unternehmen in den USA. Diese sollen Anlageentscheidungen durch Informationen zur Unternehmenspolitik in Sachen Cybersicherheit unterstützen.
Unternehmen, die ihre Prozesse zur Kontrolle von Cyberrisiken etwa in Form von Risiko-Scores oder transparenten Kommunikationskanälen in die Vorstandsetage offenlegen, heben sich aus Sicht der Investoren von der Konkurrenz ab.
Die US-Börsenaufsicht SEC will Unternehmen dazu bringen, ausreichend Daten für Anleger bereitzustellen, ohne „[ihre] Anfälligkeit für Cyberangriffe zu erhöhen … oder Betriebsdaten offenzulegen, die gegen sie verwendet werden könnten.“
Aus dem Federal Register geht hervor, dass die Regeln am 5. September 2023 in Kraft getreten sind.
Angebot
Die wichtigsten neuen SEC-Vorschriften zur Cybersicherheit
Form 8-K (neu), Item 1.05
Regulation S-K (neu), Item 106(b)
Meldepflichten bzgl. Cybersicherheit
Regulation S-K (neu), Item 106(c)
Die richtige Vorbereitung
Besprechung der neuen Regeln mit den Sicherheitsverantwortlichen sowie den für die Einreichungen zuständigen Revisions- und Finanzabteilungen zur Aufstellung eines Verfahrens zur Einhaltung der viertägigen Frist bei substanziellen Zwischenfällen.
Sorgen Sie dafür, dass alle wissen, wie der Schweregrad von Vorfällen im Bereich der Cybersicherheit ermittelt wird.
Sicherheitsbeauftragte müssen ein Verfahren zur Ermittlung und Bewertung von Cyberrisiken aufstellen. Dies beinhaltet unter anderem entsprechende Tools, die berücksichtigten Risiken − wie Angriffe von außen oder Datenverluste − und die Prozesse zu deren Bewältigung.
Verantwortliche für Sicherheit und Prüfwesen erstellen gemeinsam mit dem Vorstand einen Prozess zur Kontrolle des Cyber-Risikos durch den Vorstand (sofern noch nicht vorhanden). Dies kann auch die dauerhafte Einbindung der Cybersicherheit einschließlich Risikobewertungen, Risikofaktoren, Abhilfemaßnahmen und Investitionsbedarf in die Quartalsbesprechungen beinhalten.
Sicherheitsverantwortliche müssen Vorstandsmitglieder mit Cybersicherheitskompetenz bestimmen und befragen und in Jahresberichten und Proxy-Erklärungen angeben.
Zscaler Risk 360
Risk360: Zscaler und das Thema Cyberrisiken
Zscaler Risk360™ ist ein umfassendes, praxisnahes Risiko-Framework, das anhand von realen Daten aus der Zscaler-Umgebung des Unternehmens eine belastbare Quantifizierung von Cyber-Risiken ermöglicht. Risk360 bietet intuitive Grafiken, Details zu finanziellen Risiken, Vorstandsberichte und detaillierte, praxisorientierte Einblicke in das Sicherheitsrisiko, die unmittelbar zur Risikominderung genutzt werden können.
Risk360 ermittelt das Cyberrisiko in allen Schlüsselbereichen der Angriffskette:
Externe Angriffsfläche
Kompromittierung
Laterale Bewegung
