Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance & Governance

    Die Offenlegungsregeln der SEC zur Cybersicherheit verstehen

    by Andrew Williams

    Eine neue Ära der Cyber Governance

    Die Regeln der SEC zur Offenlegung der Cybersicherheit haben die Art und Weise verändert, wie börsennotierte Unternehmen Cyberrisiken und Transparenz angehen. Diese Regeln verpflichten die Unternehmen dazu, wesentliche Vorfälle im Bereich der Cybersicherheit innerhalb von vier Werktagen zu melden und einen jährlichen Bericht über ihr Risikomanagement und die Aufsichtsprozesse des Vorstands in das Formular 10-K aufzunehmen. Obwohl diese Änderungen die Transparenz verbessern sollten, haben sie sich als Herausforderung für Unternehmen erwiesen, die nicht auf das rasche Tempo und den umfassenden Umfang der Vorschriften vorbereitet waren.

    Die Anforderungen der SEC zwingen die Unternehmen dazu, Cybersicherheit als eine wichtige Geschäftspriorität zu behandeln. Im vergangenen Jahr wurden in allen Branchen Lücken in der Bereitschaft deutlich. Doch diese Herausforderungen haben auch wertvolle Lehren und klare Strategien hervorgebracht, die Unternehmen dabei helfen, die Erwartungen der Regulierungsbehörden zu erfüllen und gleichzeitig ihre Widerstandsfähigkeit zu stärken.

    Wie die SEC-Vorschriften die Offenlegungslücke bei der Cybersicherheit schließen

    Die SEC-Regel zur Offenlegung der Cybersicherheit soll sicherstellen, dass Anleger, Aufsichtsbehörden und die Öffentlichkeit rechtzeitig, einheitlich und nützlich über Cyberbedrohungen informiert werden, die sich auf den Unternehmenswert oder die öffentliche Sicherheit auswirken könnten.

    Im Kern enthält die Vorschrift zwei wichtige Anforderungen: Erstens müssen börsennotierte Unternehmen jeden wesentlichen Vorfall im Bereich der Cybersicherheit innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit auf dem Formular 8-K offenlegen; zweitens müssen die Jahresberichte das Cybersicherheits-Risikomanagementverfahren eines Unternehmens, die Aufsicht durch den Vorstand und die Frage, ob der Vorstand über einschlägige Fachkenntnisse im Bereich der Cybersicherheit verfügt, beschreiben.

    Dieses Rahmenwerk schließt seit langem bestehende Lücken in der Offenlegung der Cybersicherheit, indem es standardisierte Berichterstattungserwartungen einführt, die die Risiken für Investoren und Stakeholder sichtbarer machen. Jahrelang waren die Angaben zur Cybersicherheit uneinheitlich, so dass die Stakeholder keinen klaren Überblick über die wesentlichen Bedrohungen hatten.

    Der Ansatz der SEC stellt sicher, dass Cyber-Risiken gleichberechtigt mit anderen Geschäftsrisiken behandelt werden, die dem Securities Exchange Act unterliegen. Er verlangt von den Unternehmen mehr Transparenz, eine Verbesserung der Prozesse zur Reaktion auf Vorfälle und die Berücksichtigung von Schwachstellen in ihrem gesamten Ökosystem - einschließlich Drittanbietern.

    Wichtig ist, dass die neuen Regeln auch die Verantwortlichkeit für die Aufsicht durch den Vorstand erhöhen. Die Unternehmen müssen erklären, wie ihre Aufsichtsräte das Cybersecurity-Risiko überwachen, wie oft sie informiert werden und welche Fachkenntnisse sie mitbringen. Dies rückt die Cybersicherheits-Governance in den Vordergrund und legt die Messlatte für Verantwortlichkeit und Widerstandsfähigkeit höher, so dass es für Unternehmen unerlässlich ist, Mitarbeiter, Prozesse und Technologien auf diese Erwartungen auszurichten.

    Lehren aus dem ersten Jahr

    Das erste Jahr der Umsetzung der SEC-Regeln hat weitreichende Lücken in der Planung offenbart. Die Unternehmen stellten häufig fest, dass ihre Prozesse zur Reaktion auf Vorfälle und ihre Kontrollmechanismen nicht ausreichten. Probleme wie unklare Wesentlichkeitsschwellen und eine fragmentierte Koordination zwischen Rechtsabteilung, IT und Geschäftsleitung verzögerten die Berichterstattung und führten zu internen Ineffizienzen.

    Die Unternehmen, die diese Herausforderungen erfolgreich gemeistert haben, hatten jedoch eines gemeinsam: Vorbereitung. Diese Unternehmen haben klare Richtlinien für die Entscheidungsfindung aufgestellt, Eskalationsprozesse festgelegt und sich auf vordefinierte Arbeitsabläufe verlassen, um die Offenlegungen effizient zu bearbeiten. Ihre Vorbereitung reduzierte Verzögerungen und ermöglichte es ihnen, die behördlichen Anforderungen zu erfüllen und gleichzeitig das Vertrauen der Beteiligten zu erhalten.

    Das Fazit ist klar: Sorgfältige Planung und proaktives Handeln sind entscheidend für ein effektives Compliance-Management.

    Wichtige Compliance-Strategien

    Die Anpassung an die Regeln der SEC erfordert einen umfassenden und praktischen Ansatz. Die Berücksichtigung der Wesentlichkeit, das Management von Risiken Dritter und die Verbesserung der Aufsicht durch den Vorstand sind drei Schwerpunktbereiche, die zu einer konsistenteren und effektiveren Berichterstattung führen können. Lassen Sie uns diese ein wenig näher betrachten.

    1.) Definition der Wesentlichkeit

    Das Konzept der Wesentlichkeit ist nach wie vor einer der komplexesten Aspekte der Offenlegungspflichten der SEC. Unternehmen müssen über technische Details wie die Anzahl der verletzten Datensätze oder betroffenen Systeme hinausgehen und Vorfälle im breiteren Kontext der finanziellen, betrieblichen, reputationsbezogenen und regulatorischen Auswirkungen bewerten.

    Um diese Herausforderung zu meistern, können Unternehmen von strukturierten Prozessen zur Bewertung der Wesentlichkeit profitieren. Diese Rahmenwerke sollten quantitative Messgrößen, wie die potenziellen finanziellen Kosten, mit qualitativen Faktoren wie Reputationsschäden oder Bedenken der Stakeholder kombinieren. Regelmäßige Bewertungen und Aktualisierungen dieser Kriterien stellen sicher, dass sie relevant bleiben, wenn sich Risiken und Geschäftsprioritäten ändern. Unternehmen, die über klare Richtlinien für Materialitätsentscheidungen verfügen, können schneller und genauer auf Vorfälle reagieren, sobald diese auftreten.

    2.) Verwaltung von Drittparteirisiken

    Dritte, einschließlich Anbieter und Dienstleister, spielen eine entscheidende Rolle im modernen Geschäftsbetrieb, bringen aber auch Schwachstellen mit sich. Die Regeln der SEC nehmen Unternehmen in die Pflicht, bedeutende Vorfälle, die von externen Partnern ausgehen, offenzulegen und unterstreichen damit die Notwendigkeit eines soliden Risikomanagements für Dritte.

    Unternehmen können diesem Risiko begegnen, indem sie die Überwachung von Anbietern auf der Grundlage ihres Zugriffs auf sensible Daten und Systeme priorisieren. Klare Vereinbarungen, die die Verantwortlichkeiten des Anbieters bei Sicherheitsvorfällen festlegen und eine sofortige Benachrichtigung im Falle eines Verstoßes vorschreiben, sind entscheidend. Darüber hinaus kann eine kontinuierliche Überwachung der Sicherheitspraktiken der Anbieter den Unternehmen helfen, Schwachstellen frühzeitig zu erkennen und die Wahrscheinlichkeit größerer Probleme zu verringern.

    Die Zusammenarbeit mit Drittanbietern schafft auch ein Gefühl der gemeinsamen Verantwortung, stärkt die Partnerschaften und verringert das Potenzial für Überraschungen im Bereich der Cybersicherheit.

    3.) Aufwertung der Board-Aufsicht

    Die Anforderungen der SEC legen den Aufsichtsräten eine größere Verantwortung auf, um sicherzustellen, dass die Cybersicherheit eine Top-Priorität bleibt. Unternehmen müssen offenlegen, wie ihre Vorstände Cyberrisiken überwachen, einschließlich der Frage, wie oft die Vorstände auf den neuesten Stand gebracht werden, wie Entscheidungen getroffen werden und ob die Vorstandsmitglieder über einschlägige Fachkenntnisse verfügen.

    Vorstände können sich auf diese Erwartungen einstellen, indem sie Diskussionen über Cybersicherheit auf ihre regelmäßige Tagesordnung setzen, sich über neue Bedrohungen informieren und die Unternehmensrichtlinien aktualisieren, um der gestiegenen Bedeutung der Cybersicherheit Rechnung zu tragen. Ein Vorstand, der aktiv an der Überwachung von Cyber-Risiken beteiligt ist, ist besser in der Lage, sowohl die gesetzlichen Anforderungen als auch die Erwartungen der Interessengruppen zu erfüllen.

    Blick in die Zukunft: Was Sie jetzt tun müssen, um die Anforderungen zu erfüllen

    Die Cybersicherheitsregeln der SEC signalisieren einen Wandel hin zu mehr Rechenschaftspflicht und Transparenz. Um wettbewerbsfähig zu bleiben, müssen Unternehmen über die Einhaltung von Vorschriften hinausgehen und durchdachte, anpassungsfähige Risikomanagementmodelle entwickeln.

    Dazu gehören die Verfeinerung von Wesentlichkeitsrahmen, der Einsatz von Technologien zur Überwachung und Behebung von Schwachstellen und die Förderung einer Kultur, in der Cybersicherheit als gemeinsame Verantwortung aller Geschäftsfunktionen behandelt wird. Unternehmen, die in den Aufbau dieser Fähigkeiten investieren, werden nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch das Vertrauen bei Investoren, Geschäftspartnern und Kunden stärken.

    Unternehmen, die diese Maßnahmen ergreifen, werden gestärkt daraus hervorgehen, besser auf die sich entwickelnden Cyber-Bedrohungen vorbereitet sein und eine führende Rolle im Umgang mit digitalen Risiken einnehmen.

    Form 8-K Berichtspflichten

    Gemäß dem Securities Exchange Act müssen börsennotierte Unternehmen innerhalb von vier Arbeitstagen nach der Feststellung, dass ein Cybervorfall wesentlich ist, ein Formular 8-K einreichen. Dazu gehört eine Beschreibung der Art, des Umfangs und des Zeitpunkts des Ereignisses und seiner wahrscheinlichen Auswirkungen. Die SEC hat deutlich gemacht, dass Verlängerungen selten sind und dass verspätete Einreichungen zu einer Überprüfung oder zu Vollstreckungsmaßnahmen führen können.

    Ausländische Unternehmen, die als ausländischer privater Emittent eingestuft sind, müssen ähnliche Aktualisierungen mit dem Formular 6-K übermitteln. Dadurch wird sichergestellt, dass internationale Registranten die gleichen Transparenzstandards erfüllen.

    Kontrollen und Verfahren für die Offenlegung

    Starke Kontrollen und Verfahren zur Offenlegung sind entscheidend für eine zeitnahe und genaue Berichterstattung. Unternehmen sollten:

    • Integrieren Sie Cyberrisiken in die Offenlegungskontrollen Ihres Unternehmens.
    • Stellen Sie sicher, dass funktionsübergreifende Teams an der Bestimmung der Wesentlichkeit beteiligt sind.
    • Führen Sie Prüfpfade für alle Entscheidungen im Zusammenhang mit wesentlichen Cybersicherheitsvorfällen.

    Dieses Niveau der Unternehmensführung zeigt, dass die Anforderungen an die Offenlegung der Unternehmensführung ernst genommen werden und stärkt das Vertrauen der Anleger und Aufsichtsbehörden.

    Auswirkungen für öffentliche Unternehmen

    Die Regeln der SEC haben die Erwartungen an die Unternehmensführung neu gestaltet. Börsennotierte Unternehmen müssen die Prozesse des Cybersecurity-Risikomanagements als integralen Bestandteil ihres allgemeinen Risikorahmens betrachten. Dies bedeutet, dass Sie Ressourcen für die kontinuierliche Überwachung bereitstellen, Führungskräfte in der Pflicht zur Meldung von Vorfällen schulen und die cyber resilience in die strategische Planung einbeziehen müssen.

    Die Nichteinhaltung der Vorschriften kann für Unternehmen zu Durchsetzungsmaßnahmen, Rufschädigung und möglichen Klagen führen. Umgekehrt stärken Unternehmen, die der Einhaltung von Vorschriften Priorität einräumen, das Vertrauen der Anleger und demonstrieren Führungsstärke beim Umgang mit wesentlichen Risiken, die den Betrieb und die öffentliche Sicherheit beeinträchtigen.

    Vereinfachung der Einhaltung der SEC-Vorschriften für die Offenlegung der Cybersicherheit

    Die E-Mail-Sicherheitsdienste von Mimecast bieten Unternehmen wichtige Unterstützung bei der Einhaltung der neuen SEC-Vorschriften für die Offenlegung von Informationen zur Cybersicherheit. Diese Vorschriften verlangen von Unternehmen, dass sie wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit des Vorfalls melden. Mimecast ermöglicht es Unternehmen, diese Anforderungen mit einer umfassenden Suite von Tools zu erfüllen, die die Sicherheit erhöhen und die Einhaltung von Vorschriften vereinfachen.

    Die KI-gestützte E-Mail-Sicherheitsplattform erkennt und verhindert ausgeklügelte Bedrohungen wie Phishing- und Business Email Compromise (BEC)-Angriffe, die von herkömmlichen Sicherheitsmaßnahmen oft übersehen werden. Durch die Verringerung des Risikos dieser Art von meldepflichtigen Vorfällen hilft Mimecast Unternehmen, eine mögliche behördliche Überprüfung zu vermeiden. Wenn es jedoch zu Zwischenfällen kommt, können die Sicherheitsteams dank der robusten Reaktionsmöglichkeiten von Mimecast schnell handeln. Von der Erkennung von Verstößen bis zu deren effektiver Dokumentation können Teams die Fristen für die SEC-Berichterstattung zuverlässig und genau einhalten.

    Mimecast befasst sich nicht nur mit aktiven Bedrohungen, sondern auch mit dem menschlichen Element der Cybersicherheit. Die integrierte Plattform für Human Risk Management trägt dazu bei, die durch Mitarbeiterfehler verursachten Risiken zu verringern, die in vielen Unternehmen eine häufige Schwachstelle darstellen. Durch die Förderung eines besseren Sicherheitsbewusstseins minimiert dieses Tool nicht nur vermeidbare Vorfälle, sondern unterstützt auch eine stärkere allgemeine Sicherheitslage.

    Die Einhaltung der Vorschriften geht über die Reaktion auf Vorfälle hinaus - sie erfordert auch eine zuverlässige Aufzeichnung. Die Email Archive- und Aufbewahrungslösungen von Mimecast gewährleisten, dass Unternehmen sichere, leicht zugängliche Aufzeichnungen führen. Ob für behördliche Überprüfungen oder interne Audits, diese Tools bieten die Zuverlässigkeit und Transparenz, die Unternehmen benötigen, um die Anforderungen der SEC an die Dokumentation des Cybersicherheitsrisikomanagements zu erfüllen.

    Durch die Integration dieser Funktionen versetzt Mimecast Unternehmen in die Lage, ihre Sicherheitslage zu verbessern und gleichzeitig die Einhaltung der Offenlegungsvorschriften der SEC zu vereinfachen. Entdecken Sie, wie Mimecast Ihrem Unternehmen helfen kann, sicher und widerstandsfähig zu bleiben und den heutigen Herausforderungen der Compliance gerecht zu werden.

    56BLOG_1.jpg
    Nächster Punkt
    Data Compliance & Governance |
    Mimecast erhält ISO 14001-Zertifizierung und unterstreicht damit sein Engagement für Nachhaltigkeit

    Verwandte Artikel

    Data Compliance & Governance
    Haben Sie ein Problem mit dem Datenrisiko in Slack?
    Data Compliance & Governance
    Der vollständige Leitfaden für eDiscovery in Slack
    Data Compliance & Governance
    Was ist Schatten-IT? Beispiele, Risiken und Lösungen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang