Endgültige Regeln der SEC: Cybersicherheit im Fokus

Cybersicherheitsbedrohungen und -vorfälle stellen weiterhin erhebliche Risiken für börsennotierte Unternehmen, Investoren und Marktteilnehmer weltweit dar. Die Kosten dieser Vorfälle für Unternehmen und Investoren steigen weiter. Um die Offenlegung von Cybersicherheitsrisiken, Cybersicherheitsstrategien, Unternehmensführung und wesentlichen Cybersicherheitsvorfällen durch börsennotierte Unternehmen zu verbessern und zu standardisieren, hat die U.S. Securities and Exchange Commission (SEC) neue Regeln vorgeschlagen und verabschiedet.

 

Am 26. Juli 2023 verabschiedete die SEC die endgültigen Regeln “Cybersicherheitsrisikomanagement, Strategie, Governance und Offenlegung von Vorfällen“ um die Offenlegung von Cybersicherheitsvorfällen und Risikomanagementprozessen zu standardisieren und zu verbessern.

Eliza Davies

An article from

Eliza Davies
Cyber Security and Risk Management Consultant
Published
April 23, 2024
Updated
Reading time
minutes
SEC endgültige Regeln - C-Risk

Was ist die SEC?

Die SEC ist eine unabhängige Bundesaufsichtsbehörde der Vereinigten Staaten, die 1934 gegründet wurde und für den Schutz der Anleger, die Aufrechterhaltung eines fairen und ordnungsgemäßen Funktionierens der Wertpapiermärkte und die Erleichterung der Kapitalbildung zuständig ist. Bundesbehörden sind im Allgemeinen Teil der Exekutive der Regierung. 

Diese Behörden werden vom Kongress beauftragt, Vorschriften auf der Grundlage der vom Kongress verabschiedeten Gesetze zu erlassen. Der Prozess der Veröffentlichung neuer Vorschriften wird als „rule making“ bezeichnet.

Offenlegungsvorschriften für Cybersicherheit

Die SEC veröffentlicht endgültige Regeln zur Klärung der Auslegung von Bundesgesetzen und der Art und Weise, wie die Gesetze anzuwenden sind. Die Agentur kann auch Anforderungen und Verbote festlegen sowie Leitlinien oder andere politische Erklärungen veröffentlichen.

 

Die im Juli 2023 veröffentlichten endgültigen Regeln für die Offenlegung von Informationen zur Cybersicherheit gelten ab dem 5. September 2023. US-börsennotierte Unternehmen müssen der SEC in ihren Jahresberichten für das Geschäftsjahr, das am oder nach dem 15. Dezember 2023 endet, Informationen zu Cybersicherheitsrisiko, Strategie und Governance vorlegen. Hinsichtlich der Offenlegung erheblicher Cybersicherheitsvorfälle unter Punkt 1.05 des Formblatts 8-K müssen Unternehmen die Anforderungen ab dem 18. Dezember 2023 erfüllen.

 

Unternehmen, die sich als „smaller reporting companies“ qualifizieren, erhalten eine zusätzliche Frist von 180 Tagen, um mit der Meldung von Punkt 1.05 auf Formular 8-K zu beginnen. Diese "kleineren berichtenden Unternehmen" werden ab dem 15. Juni 2024 mit der Offenlegung wesentlicher Cybervorfälle beginnen.

Die endgültigen Regeln beinhalten auch Berichts- und Offenlegungspflichten für ausländische private Emittenten (FPIs). Dazu gehören das Formular 20-F für Jahresberichte und das Formular 6-K für aktuelle Berichte. FPIs sind unterschiedlich reguliert und haben Anforderungen, die sich auf ihr Heimatland und ihre Berichtspflichten beziehen.

Endgültige Regeln der SEC: Cybersicherheit im Fokus

Die Einhaltung gesetzlicher Vorschriften ist nur der erste Schritt zur digitalen operativen Resilienz

C-Risk kann Sie dabei unterstützen, die finanziellen und operativen Auswirkungen von Cyber-Risiken effektiv zu kommunizieren und eine strategische Ressourcenallokation sicherzustellen, die Ihren Geschäftszielen entspricht.

Bestimmung von Wesentlichkeiten

Bei der Meldung eines Cybervorfalls an die SEC unter Verwendung des Formulars 8-K, Punkt 1.05, handelt es sich um eine Frage von Wesentlichkeit. Was ist nach Ansicht der SEC wesentlich? Das Konzept der Wesentlichkeit ist grundlegend für das amerikanische Wertpapierrecht.

 

Praktisch gesehen gibt es keine einfache Antwort. Es gibt keine verbindliche Definition, die besagt, ob etwas wesentlich ist. Die SEC hat wiederholt darauf hingewiesen, dass der Begriff der Wesentlichkeit für Zwecke der Offenlegung im Einklang mit der geltenden Rechtsprechung auszulegen ist.

 

Eine Interpretation des Obersten Gerichtshofs der Vereinigten Staaten in seiner Entscheidung in der Rechtssache TSC Industries gegen Northway, Inc. von 1976 kam zu dem Schluss, dass eine Tatsache wesentlich ist, wenn sie "eine erhebliche Wahrscheinlichkeit gibt, dass der ... Sachverhalt von einem vernünftigen Investor so angesehen worden wäre, dass er den ‚total mix‘ der zur Verfügung gestellten Informationen wesentlich verändert hätte.“

 

Das obige Beispiel wird im 1999 veröffentlichten SEC Staff Accounting Bulletin: Nr. 99 — Materiality behandelt. Das Bulletin geht näher auf Fragen zur Bewertung der Wesentlichkeit und auf falsche Angaben in Jahresabschlüssen ein. Eine der Fragen bezieht sich auf die Frage, ob ein quantitativer Schwellenwert angewendet werden kann, um festzustellen, ob etwas für Jahresabschlüsse von wesentlicher Bedeutung ist. Die SEC antwortet, dass „Faustregeln“ zwar nützlich sein können, das Vertrauen auf einen bestimmten Prozentsatz oder einen bestimmten numerischen Schwellenwert jedoch in der Rechnungslegungsliteratur oder in der geltenden Gesetzgebung keine Grundlage hat.

Im Allgemeinen müssen Unternehmen bei der Bewertung der Wesentlichkeit sowohl „quantitative“ als auch „qualitative“ Faktoren berücksichtigen. Sie bilden den “„total mix“ von Informationen.“

Erleichterung fundierter Entscheidungen für Investoren

Anleger müssen wie jedes Unternehmen die Risiken verstehen, die mit einer anstehenden Entscheidung verbunden sind. Die endgültigen Regeln sollen den Anlegern helfen, fundierte Entscheidungen zu treffen. Sie sollen auch Unternehmen und dem Markt im Allgemeinen zugute kommen, indem sie Unternehmen dazu zwingen, ihre Cybersicherheits-Governance- und Risikomanagementprozesse genauer unter die Lupe zu nehmen.

 

Der Vorsitzende der SEC, Gary Gensler, sagte bei der Vorstellung der neuen Regeln, dass zwar viele börsennotierte Unternehmen den Investoren bereits Informationen zur Cybersicherheit zur Verfügung stellen, aber alle von einem standardisierten Prozess profitieren würden. Die neuen Informationen zur Cybersicherheit helfen den Anlegern, die Risiken ihrer Investitionen zu bewerten, wie dies auch bei anderen Risikoinformationen der Fall ist.

Die neuen Regeln sollen den Anlegern Folgendes bieten:“aktuelle, konsistente, vergleichbare und entscheidungsrelevante Informationen, die sie benötigen, um fundierte Anlage- und Wahlentscheidungen zu treffen.

Qualitative und quantitative Methoden

Bei alleiniger Anwendung haben sowohl qualitative als auch quantitative Risikomanagementmethoden ihre Grenzen. Faktoren wie kognitive Voreingenommenheit, Inkonsistenzen, fehlender Kontext und Selbstüberschätzung können eine effektive Kommunikation und Entscheidungsfindung in Bezug auf Investitionen und Sicherheit behindern.

 

Die Aufsichtsbehörden setzen sich für eine Stärkung der Corporate Governance in Bezug auf Cyber-Risiken ein. Die Implementierung eines risikobasierten, datengesteuerten Ansatzes kann Aufsichtsbehörden und Anlegern den Nachweis liefern, dass Ihr Unternehmen über einen soliden Entscheidungsprozess verfügt.

 

Durch die Kombination qualitativer und quantitativer Risikomanagementmethoden kann Ihr Unternehmen mehr als nur die Einhaltung gesetzlicher Vorschriften erreichen. Der FAIR-Framework bietet eine transparente, wiederholbare Methode zur finanziellen Quantifizierung von Cyber- und Technologierisiken. Die Quantifizierung von Cyber-Risiken (CRQ) kann unabhängig von der Entwicklungsstufe Ihres Unternehmens in Ihren Risikomanagementprozess integriert werden. Dies ermöglicht die Bewertung von Sicherheitsentscheidungen in geschäftlicher Hinsicht, die Priorisierung von Investitionen auf der Grundlage von Kontrollmöglichkeiten und die Steigerung ihrer Produktivität.

Das Team der FAIR-zertifizierten Cybersicherheits- und Risikomanagementberater von C-Risk unterstützt Ihr Unternehmen dabei, mehr als nur die gesetzlichen Anforderungen zu erfüllen. Kontaktieren Sie uns noch heute und erfahren Sie, wie wir Ihnen helfen können, Cyber- und Technologierisiken zu quantifizieren und Ihre Produktivität zu steigern.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.