Neue SEC-Regeln: Meldung wesentlicher Vorfälle durch Offenlegung von Cybersicherheitsvorfällen

Feb 1, 2024
Share

Die Regeln der Securities and Exchange Commission (SEC) legen fest 26. Juli 2023Die neuen Vorschriften verpflichten nahezu alle Unternehmen, die Dokumente bei der SEC einreichen („Registranten“), die Prozesse und Managementverfahren zu beschreiben, die sie zur Bewertung, Identifizierung und zum Management von Cybersicherheitsrisiken einsetzen. Ziel der neuen Regelungen ist es, Investoren und Marktteilnehmern zeitnah und verlässlich Informationen über die Folgen schwerwiegender Cybersicherheitsvorfälle bereitzustellen.

Welche neuen SEC-Anforderungen gelten?

Bezüglich der Meldepflichten bei Sicherheitsvorfällen müssen bei der SEC registrierte Unternehmen Informationen über wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen offenlegen. Die SEC definiert einen wesentlichen Vorfall als ein Ereignis, das ein vernünftiger Anleger bei einer Anlageentscheidung wahrscheinlich als relevant einstufen würde, wie beispielsweise Datenlecks, Lösegeldforderungen und unbefugter Zugriff auf Systeme. Der Bericht sollte Art, Ausmaß und Zeitpunkt des Vorfalls enthalten.

Am wichtigsten ist jedoch, dass die Registranten ihre Gründe für die Entscheidung, ob ein Vorfall als meldepflichtig eingestuft wird, darlegen müssen. nicht Wesentliche Vorfälle, die nicht mit früheren Vorfällen in Zusammenhang stehen. Beispielsweise gilt eine Datenschutzverletzung, die ein sofortiges Eingreifen und umfangreiche Behebungsmaßnahmen durch ein Sicherheitsteam erfordert, gemäß den SEC-Richtlinien als meldepflichtig, unabhängig von einem erheblichen finanziellen Schaden oder dem Diebstahl von Kundendaten.

Darüber hinaus führen die neuen Regeln der SEC Folgendes ein Verordnung SK Artikel 106Die Registranten sind verpflichtet, ihre Methoden zur Identifizierung, Bewertung und zum Management wesentlicher Cybersicherheitsrisiken detailliert darzulegen. Dies umfasst die Erörterung der Auswirkungen dieser Risiken und etwaiger früherer Cybersicherheitsvorfälle sowie die Erläuterung der Rolle des Vorstands und der Geschäftsführung bei der Überwachung und dem Management dieser Cybersicherheitsbedrohungen.

Welche Unternehmen sind zur Einhaltung verpflichtet?

Die neuen Regeln betreffen alle US-Unternehmen und ausländischen privaten Emittenten, die den Berichtspflichten gemäß dem Exchange Act der SEC unterliegen. Laut SEC ausländische private Emittenten Dies betrifft alle Unternehmen, die nachweisen können, dass sie zu weniger als 50 % in US-amerikanischer Hand sind oder, selbst wenn sie zu mehr als 50 % in US-amerikanischer Hand sind, ihren Sitz nicht in den Vereinigten Staaten haben oder dort nicht von US-amerikanischem Personal geleitet werden. Die Regeln gelten auch für Unternehmen für Geschäftsentwicklung Bei sogenannten BDCs (Business Development Companies) handelt es sich um geschlossene Investmentfonds, die es Privatanlegern ermöglichen, Gelder in kleine und mittlere private Unternehmen zu investieren und in verschiedene andere Vermögenswerte, einschließlich börsennotierter Unternehmen, zu investieren.

Welche Fristen gelten für die Einhaltung der Vorschriften?

Die Meldung wesentlicher Vorfälle muss für inländische Registranten innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit eines Cybersicherheitsvorfalls erfolgen. Die Registranten müssen die Meldepflichten ab dem 18. Dezember 2023 umsetzen. Es gibt einige Ausnahmen, beispielsweise für … Unternehmen mit weniger als 100 Millionen Dollar im Jahresumsatz.

Parallel dazu müssen alle Registranten in ihren Jahresberichten für Geschäftsjahre, die am oder nach dem 15. Dezember 2023 enden, Angaben zur Cybersicherheit machen.

Welche Strafen drohen?

Bei der Meldung schwerwiegender Cybersicherheitsvorfälle an die SEC müssen Unternehmen berücksichtigen, welche Daten betroffen waren und welche Auswirkungen dies auf ihr Geschäft und ihre Finanzen hat. Die Nichteinhaltung dieser Richtlinien kann zu … führen. Millionen Dollar Strafen.

Wie können Sie die Einhaltung der Offenlegungspflichten der SEC sicherstellen?

Die Meldefristen für Vorfälle an die SEC sind sehr streng, da die meisten Vorfälle innerhalb weniger Tage gemeldet werden müssen. Unternehmen sollten daher bereits über die notwendigen Mitarbeiter, Prozesse und Tools verfügen, um einen Vorfall zu analysieren und fristgerecht einen Bericht einzureichen. Zwei wichtige Punkte sollten Unternehmen dabei beachten:

  • Die Feststellung, ob ein kritischer Vorfall wesentlich ist oder ob er es nicht war, kann kompliziert und schwierig sein. Dafür sind Ressourcen und Werkzeuge erforderlich, um detaillierte Prozesse durchzuführen und herauszufinden, was zu dem Vorfall geführt hat, welche Daten möglicherweise kompromittiert wurden und welches Risiko die kompromittierten Daten für das betroffene Unternehmen und die betroffenen Personen darstellen.
  • Die Berichterstattung darüber, wie der Vorstand mit Cybersicherheitsrisiken umgeht, ist erforderlich. Dies bedeutet, dass die Managementteams über effektive Systeme und Prozesse verfügen müssen, um Fragen der SEC beantworten zu können. Sie müssen darlegen, welche Systeme sie einsetzen, um die betroffenen Daten zu verstehen und wie sie schwerwiegende Cybersicherheitsvorfälle schnell beheben können.

Wie Cyera Ihnen bei der Einhaltung der neuen SEC-Regeln hilft

Cyera ermöglicht es Unternehmen, schwerwiegende Vorfälle, die mit der Gefährdung von Daten einhergehen, zu analysieren und schneller darauf zu reagieren. Unsere Lösung unterstützt Unternehmen bei der Einhaltung der neuen SEC-Vorschriften durch:

Transparenz regulierter Daten: Cyera bietet Transparenz über alle Daten, insbesondere über regulierte Daten. Es zeigt an, welche Daten ein Unternehmen speichert, wo diese gespeichert sind, wer Zugriff darauf hat und wie sie genutzt werden. Diese proaktive Herangehensweise ist entscheidend, um die Auswirkungen eines schwerwiegenden Vorfalls zu verstehen.

Kontext zu Daten und Risiken: Cyera generiert Kontextinformationen zu Ihren Daten, wie beispielsweise den Speicherort und die Rolle der betroffenen Person sowie die Kategorien der kompromittierten Daten. So kategorisiert Cyera beispielsweise Kreditkarteninformationen, Sozialversicherungsnummern und andere Informationen, die als risikoreich eingestuft werden könnten, wodurch die Dringlichkeit einer Meldung des schwerwiegenden Vorfalls erhöht wird.

Effiziente Prävention und Reaktion: Cyera hilft dabei, Fehlkonfigurationen zu erkennen, die zu einem schwerwiegenden Vorfall führen könnten. Dadurch wird das Risiko eines Sicherheitsverstoßes minimiert und der Zugriff Unbefugter auf sensible Daten verhindert. Cyera identifiziert zudem Schwachstellen und leitet zeitnah Maßnahmen zur Behebung ein, um Sicherheitslücken zu schließen. Dies ist entscheidend, um die Auswirkungen eines Vorfalls zu minimieren.

Um mehr darüber zu erfahren, wie Sie Ihre Daten besser prüfen und sich gemäß den SEC-Regeln auf wesentliche Vorfälle vorbereiten können, Vereinbaren Sie noch heute eine Demo.Die

Share