Neue SEC-Regeln: Meldung wesentlicher Vorfälle durch Cybersicherheits-Offenlegungen

Die von der Securities and Exchange Commission (SEC) am 26. Juli 2023 erlassenen Vorschriften verlangen, dass nahezu alle Unternehmen, die Unterlagen bei der SEC einreichen („Registranten“), die Prozesse und Managementverfahren beschreiben, mit denen sie Cyberrisiken bewerten, identifizieren und steuern. Die neuen Regelungen sollen Investoren und Marktteilnehmern zeitnahe und verlässliche Informationen über die Folgen von wesentlichen Cybervorfällen bereitstellen.
Was sind die neuen Anforderungen der SEC?
Bezüglich der Meldepflichten bei Verstößen müssen SEC-registrierte Unternehmen Informationen über wesentliche Cybersecurity-Vorfälle innerhalb von vier Geschäftstagen offenlegen. Die SEC definiert einen wesentlichen Vorfall als ein Ereignis, das ein vernünftiger Investor bei einer Investitionsentscheidung wahrscheinlich als bedeutend ansehen würde, wie etwa Datenpannen, Lösegeldforderungen und unbefugter Zugriff auf Systeme. Der Bericht sollte die Art, das Ausmaß und den Zeitpunkt des Vorfalls enthalten.
Am wichtigsten ist, dass die Registrierenden auch verpflichtet sind, ihre Begründung zu erläutern, wenn sie entscheiden, dass ein Vorfall nicht wesentlich ist und nicht mit früheren Vorfällen in Zusammenhang steht. Zum Beispiel gilt ein Datenverstoß, der eine sofortige Reaktion und umfangreiche Behebungsmaßnahmen durch ein Sicherheitsteam erfordert, gemäß den SEC-Richtlinien als meldepflichtig – unabhängig davon, ob ein erheblicher finanzieller Verlust oder Diebstahl von Kundendaten vorliegt.
Darüber hinaus führen die neuen Vorschriften der SEC Regulation S-K Punkt 106 ein, der von den Registrierenden verlangt, ihre Methoden zur Identifizierung, Bewertung und Verwaltung erheblicher Cybersecurity-Risiken darzulegen. Dies umfasst die Erörterung der Auswirkungen dieser Risiken und etwaiger früherer Cybersecurity-Vorfälle sowie die Erläuterung der Rolle des Vorstands und des Managements bei der Überwachung und Steuerung dieser Cybersecurity-Bedrohungen.
Welche Unternehmen sind zur Einhaltung verpflichtet?
Die neuen Vorschriften betreffen alle US-Unternehmen und ausländischen Privatgesellschaften, die den Berichtspflichten gemäß dem Exchange Act der SEC unterliegen. Laut SEC sind ausländische Privatgesellschaften alle Unternehmen, die nachweisen können, dass sie weniger als 50 % US-Eigentümer haben oder – selbst wenn sie mehr als 50 % US-Eigentümer haben – weder in den Vereinigten Staaten ansässig oder geführt werden noch von US-Personal geleitet werden. Die Vorschriften gelten auch für Business Development Companies („BDCs“), bei denen es sich um geschlossene Investmentfonds handelt, die es Privatanlegern ermöglichen, Mittel in kleine und mittelständische Privatunternehmen zu investieren und in verschiedene andere Vermögenswerte, einschließlich börsennotierter Unternehmen, anzulegen.
Welche Fristen gelten für die Einhaltung?
Die Offenlegung wesentlicher Vorfälle für inländische Registranten muss innerhalb von vier Werktagen nach Feststellung, dass ein Cybersecurity-Vorfall wesentlich ist, eingereicht werden. Registranten müssen ab dem 18. Dezember 2023 die Vorschriften einhalten. Es gibt einige Ausnahmen, zum Beispiel für Unternehmen mit weniger als 100 Millionen US-Dollar Jahresumsatz.
Parallel dazu müssen alle Registrierten in ihren Jahresberichten für Geschäftsjahre, die am oder nach dem 15. Dezember 2023 enden, Angaben zur Cybersicherheit machen.
Was sind die Strafen?
Bei der Meldung wesentlicher Cybersicherheitsvorfälle an die SEC müssen Unternehmen berücksichtigen, welche Arten von Daten betroffen sind und wie sich dies auf ihr Geschäft und ihre Finanzen auswirkt. Die Nichteinhaltung solcher Richtlinien kann zu Strafen in Millionenhöhe führen.
Wie können Sie die Bereitschaft in Bezug auf die SEC-Offenlegungspflichten sicherstellen?
Die Fristen zur Meldung von Vorfällen an die SEC sind sehr streng, da die meisten Vorfälle innerhalb weniger Tage gemeldet werden müssen. Unternehmen sollten daher bereits über die notwendigen Personen, Prozesse und Werkzeuge verfügen, um einen Vorfall zu analysieren und rechtzeitig Bericht zu erstatten. Hier sind zwei wichtige Überlegungen für Unternehmen:
- Die Feststellung, ob ein kritischer Vorfall wesentlich ist, und der Nachweis, dass er nicht wesentlich war, kann kompliziert und herausfordernd sein. Es erfordert Ressourcen und Werkzeuge, um detaillierte Prozesse durchzuführen, um herauszufinden, was zu dem Vorfall geführt hat, welche Daten möglicherweise kompromittiert wurden und welches Risikoniveau die kompromittierten Daten sowohl für das betroffene Unternehmen als auch für Einzelpersonen darstellen.
- Berichterstattung darüber, wie der Vorstand mit Cyberrisiken umgeht. Das bedeutet, dass das Management effektive Systeme und Prozesse bereithalten muss, um auf Fragen der SEC reagieren zu können. Sie müssen darlegen, welche Systeme sie implementiert haben, um die betroffenen Daten zu verstehen, und wie sie bedeutende Cybervorfälle schnell beheben können.
Wie Cyera Ihnen hilft, die neuen SEC-Vorschriften einzuhalten
Cyera ermöglicht es Unternehmen, ihre Reaktion auf schwerwiegende Vorfälle, bei denen Daten kompromittiert werden, zu analysieren und zu beschleunigen. Unsere Lösung unterstützt Unternehmen dabei, die neuen SEC-Vorschriften einzuhalten, indem sie:
Sichtbarkeit für regulierte Daten: Cyera bietet Einblick in alle Daten, insbesondere in regulierte Daten. Dazu gehört, welche Daten ein Unternehmen besitzt, wo sie sich befinden, wer Zugriff darauf hat und wie sie verwendet werden. Diese proaktive Haltung ist entscheidend, um die Auswirkungen eines wesentlichen Vorfalls zu verstehen.
Kontext zu Daten und Risiken: Cyera erstellt Kontext zu Ihren Daten, wie zum Beispiel den Speicherort und die Rolle der betroffenen Person, sowie die Kategorien der kompromittierten Daten. Cyera kategorisiert beispielsweise Kreditkarteninformationen, Sozialversicherungsnummern und andere Informationen, die als besonders risikoreich eingestuft werden können, was die Dringlichkeit erhöht, den Vorfall zu melden.
Effiziente Prävention und Reaktion: Cyera hilft dabei, Fehlkonfigurationen zu erkennen, die zu einem schwerwiegenden Vorfall führen könnten, und minimiert so das Risiko einer Sicherheitsverletzung sowie den Zugriff unbefugter Personen auf sensible Daten. Cyera identifiziert außerdem Schwachstellen und setzt zeitnahe Maßnahmen zur Behebung um, um Sicherheitslücken zu schließen. Dies ist entscheidend, um den Schaden eines Vorfalls zu begrenzen.
Erfahren Sie mehr darüber, wie Sie Ihre Daten besser prüfen und sich gemäß den SEC-Vorschriften auf wesentliche Vorfälle vorbereiten können. Vereinbaren Sie noch heute eine Demo.
Erhalten Sie vollständige Transparenz
mit unserer Data Risk Assessment.