Neue SEC-Vorschriften zur Cybersicherheit für börsennotierte Unternehmen

Die neuen SEC-Regeln verlangen die unverzügliche Meldung von Vorfällen, eine klare Berichterstattung zu Richtlinien und Verfahren im Cyber-Risikomanagement und eine stärkere Einbindung der Vorstandsebene.

Details

Im Juli 2023 veröffentlichte die US-Börsenaufsicht SEC (Securities and Exchange Commission) neue Offenlegungsvorschriften im Bereich Cybersicherheit für börsennotierte Unternehmen in den USA. Diese sollen Anlageentscheidungen durch Informationen zur Unternehmenspolitik in Sachen Cybersicherheit unterstützen.

Unternehmen, die ihre Prozesse zur Kontrolle von Cyberrisiken etwa in Form von Risiko-Scores oder transparenten Kommunikationskanälen in die Vorstandsetage offenlegen, heben sich aus Sicht der Investoren von der Konkurrenz ab.

Die US-Börsenaufsicht SEC will Unternehmen dazu bringen, ausreichend Daten für Anleger bereitzustellen, ohne „[ihre] Anfälligkeit für Cyberangriffe zu erhöhen … oder Betriebsdaten offenzulegen, die gegen sie verwendet werden könnten.“

Aus dem Federal Register geht hervor, dass die Regeln am 5. September 2023 in Kraft getreten sind.

Angebot

Die wichtigsten neuen SEC-Vorschriften zur Cybersicherheit

Form 8-K (neu), Item 1.05
Form 8-K (neu), Item 1.05
Meldung genauer Angaben zu substanziellen Cybersicherheitsvorfällen innerhalb von vier Werktagen nach deren Feststellung.
new-regulation-s-k-item-106
Regulation S-K (neu), Item 106(b)
Vorlage von Erläuterungen zu „etwaigen Prozessen zur Prüfung, Erkennung und Bewältigung wesentlicher Risiken der Cybersicherheit“
cybersecurity-disclosures
Meldepflichten bzgl. Cybersicherheit
Die Erstellung erfolgt in der Inline eXtensible Business Reporting Language (Inline XBRL).
new-regulation-s-k-item
Regulation S-K (neu), Item 106(c)
Vorlage von Erläuterungen zu den Aufsichtspflichten des Vorstands bzgl. Cybersicherheitsrisiken und seiner Rolle und Kompetenz bei der Bewertung und Bewältigung substanzieller Risiken durch Cyberangriffe.
Die richtige Vorbereitung
Zusammenstellung einer Meldungsgruppe

Besprechung der neuen Regeln mit den Sicherheitsverantwortlichen sowie den für die Einreichungen zuständigen Revisions- und Finanzabteilungen zur Aufstellung eines Verfahrens zur Einhaltung der viertägigen Frist bei substanziellen Zwischenfällen.


Klären Sie, was genau „substanziell“ bedeutet.

Sorgen Sie dafür, dass alle wissen, wie der Schweregrad von Vorfällen im Bereich der Cybersicherheit ermittelt wird.


Den Cyber-Risikoprozess beschreiben

Sicherheitsbeauftragte müssen ein Verfahren zur Ermittlung und Bewertung von Cyberrisiken aufstellen. Dies beinhaltet unter anderem entsprechende Tools, die berücksichtigten Risiken − wie Angriffe von außen oder Datenverluste − und die Prozesse zu deren Bewältigung.


Vorstandsbesprechung

Verantwortliche für Sicherheit und Prüfwesen erstellen gemeinsam mit dem Vorstand einen Prozess zur Kontrolle des Cyber-Risikos durch den Vorstand (sofern noch nicht vorhanden). Dies kann auch die dauerhafte Einbindung der Cybersicherheit einschließlich Risikobewertungen, Risikofaktoren, Abhilfemaßnahmen und Investitionsbedarf in die Quartalsbesprechungen beinhalten.


Cyber-Kompetenz im Vorstand nutzen

Sicherheitsverantwortliche müssen Vorstandsmitglieder mit Cybersicherheitskompetenz bestimmen und befragen und in Jahresberichten und Proxy-Erklärungen angeben.


Zscaler Risk 360

Risk360: Zscaler und das Thema Cyberrisiken

Zscaler Risk360™ ist ein umfassendes, praxisnahes Risiko-Framework, das anhand von realen Daten aus der Zscaler-Umgebung des Unternehmens eine belastbare Quantifizierung von Cyber-Risiken ermöglicht. Risk360 bietet intuitive Grafiken, Details zu finanziellen Risiken, Vorstandsberichte und detaillierte, praxisorientierte Einblicke in das Sicherheitsrisiko, die unmittelbar zur Risikominderung genutzt werden können.
Risk360 ermittelt das Cyberrisiko in allen Schlüsselbereichen der Angriffskette:

external-attck-surface
Externe Angriffsfläche
Untersuchen Sie erkennbare Variablen und ermitteln Sie so das Risiko, dass Angreifer Schwachstellen bei Ihnen finden und ausnutzen.
der Kompromittierung
Kompromittierung
Erkennen und begrenzen Sie Risiken anhand von Ereignissen, Sicherheitseinstellungen und Datenverkehr und berechnen Sie die Wahrscheinlichkeit einer Kompromittierung.
lateral-movement
Laterale Bewegung
Erkennen Sie das Risiko für eine laterale Ausbreitung von Bedrohungen und prüfen Sie dazu unterschiedliche private Zugriffseinstellungen und Kennzahlen.
data-loss-exfiltration-risk
Gefahr von Datenverlusten/Exfiltration
Analysieren und begrenzen Sie das Risiko einer Datenexfiltration.

Risk360

Die nächsten Schritte

Lassen Sie sich von unseren Experten zeigen, wie Zscaler Risk360 die Angriffsfläche Ihres Unternehmens verringert, laterale Bewegungen verhindert und das Risiko von Datenverlusten ausschließt.