Neue SEC-Vorschriften zur Cybersicherheit für börsennotierte Unternehmen
Die neuen SEC-Regeln verlangen die unverzügliche Meldung von Vorfällen, eine klare Berichterstattung zu Richtlinien und Verfahren im Cyber-Risikomanagement und eine stärkere Einbindung der Vorstandsebene.
Im Juli 2023 veröffentlichte die US-Börsenaufsicht SEC (Securities and Exchange Commission) neue Offenlegungsvorschriften im Bereich Cybersicherheit für börsennotierte Unternehmen in den USA. Diese sollen Anlageentscheidungen durch Informationen zur Unternehmenspolitik in Sachen Cybersicherheit unterstützen.
Unternehmen, die ihre Prozesse zur Kontrolle von Cyberrisiken etwa in Form von Risiko-Scores oder transparenten Kommunikationskanälen in die Vorstandsetage offenlegen, heben sich aus Sicht der Investoren von der Konkurrenz ab.
Die US-Börsenaufsicht SEC will Unternehmen dazu bringen, ausreichend Daten für Anleger bereitzustellen, ohne „[ihre] Anfälligkeit für Cyberangriffe zu erhöhen … oder Betriebsdaten offenzulegen, die gegen sie verwendet werden könnten.“
Aus dem Federal Register geht hervor, dass die Regeln am 5. September 2023 in Kraft getreten sind.
Die wichtigsten neuen SEC-Vorschriften zur Cybersicherheit
Form 8-K (neu), Item 1.05
Regulation S-K (neu), Item 106(b)
Meldepflichten bzgl. Cybersicherheit
Regulation S-K (neu), Item 106(c)
Besprechung der neuen Regeln mit den Sicherheitsverantwortlichen sowie den für die Einreichungen zuständigen Revisions- und Finanzabteilungen zur Aufstellung eines Verfahrens zur Einhaltung der viertägigen Frist bei substanziellen Zwischenfällen.
Sorgen Sie dafür, dass alle wissen, wie der Schweregrad von Vorfällen im Bereich der Cybersicherheit ermittelt wird.
Sicherheitsbeauftragte müssen ein Verfahren zur Ermittlung und Bewertung von Cyberrisiken aufstellen. Dies beinhaltet unter anderem entsprechende Tools, die berücksichtigten Risiken − wie Angriffe von außen oder Datenverluste − und die Prozesse zu deren Bewältigung.
Verantwortliche für Sicherheit und Prüfwesen erstellen gemeinsam mit dem Vorstand einen Prozess zur Kontrolle des Cyber-Risikos durch den Vorstand (sofern noch nicht vorhanden). Dies kann auch die dauerhafte Einbindung der Cybersicherheit einschließlich Risikobewertungen, Risikofaktoren, Abhilfemaßnahmen und Investitionsbedarf in die Quartalsbesprechungen beinhalten.
Sicherheitsverantwortliche müssen Vorstandsmitglieder mit Cybersicherheitskompetenz bestimmen und befragen und in Jahresberichten und Proxy-Erklärungen angeben.
Risk360: Zscaler und das Thema Cyberrisiken
Zscaler Risk360™ ist ein umfassendes, praxisnahes Risiko-Framework, das anhand von realen Daten aus der Zscaler-Umgebung des Unternehmens eine belastbare Quantifizierung von Cyber-Risiken ermöglicht. Risk360 bietet intuitive Grafiken, Details zu finanziellen Risiken, Vorstandsberichte und detaillierte, praxisorientierte Einblicke in das Sicherheitsrisiko, die unmittelbar zur Risikominderung genutzt werden können.
Risk360 ermittelt das Cyberrisiko in allen Schlüsselbereichen der Angriffskette:
Externe Angriffsfläche
Kompromittierung
Laterale Bewegung
Gefahr von Datenverlusten/Exfiltration
Risk360
Die nächsten Schritte
Lassen Sie sich von unseren Experten zeigen, wie Zscaler Risk360 die Angriffsfläche Ihres Unternehmens verringert, laterale Bewegungen verhindert und das Risiko von Datenverlusten ausschließt.