Neue SEC-Vorschriften zur Cybersicherheit für börsennotierte Unternehmen
Die neuen SEC-Regeln verlangen die unverzügliche Meldung von Vorfällen, eine klare Berichterstattung zu Richtlinien und Verfahren im Cyber-Risikomanagement und eine stärkere Einbindung der Vorstandsebene.
Im Juli 2023 veröffentlichte die US-Börsenaufsicht SEC (Securities and Exchange Commission) neue Offenlegungsvorschriften im Bereich Cybersicherheit für börsennotierte Unternehmen in den USA. Diese sollen Anlageentscheidungen durch Informationen zur Unternehmenspolitik in Sachen Cybersicherheit unterstützen.
Unternehmen, die ihre Prozesse zur Kontrolle von Cyberrisiken etwa in Form von Risiko-Scores oder transparenten Kommunikationskanälen in die Vorstandsetage offenlegen, heben sich aus Sicht der Investoren von der Konkurrenz ab.
Die US-Börsenaufsicht SEC will Unternehmen dazu bringen, ausreichend Daten für Anleger bereitzustellen, ohne „[ihre] Anfälligkeit für Cyberangriffe zu erhöhen … oder Betriebsdaten offenzulegen, die gegen sie verwendet werden könnten.“
Aus dem Federal Register geht hervor, dass die Regeln am 5. September 2023 in Kraft getreten sind.
Meldung genauer Angaben zu substanziellen Cybersicherheitsvorfällen innerhalb von vier Werktagen nach deren Feststellung.
Vorlage von Erläuterungen zu „etwaigen Prozessen zur Prüfung, Erkennung und Bewältigung wesentlicher Risiken der Cybersicherheit“
Die Erstellung erfolgt in der Inline eXtensible Business Reporting Language (Inline XBRL).
Vorlage von Erläuterungen zu den Aufsichtspflichten des Vorstands bzgl. Cybersicherheitsrisiken und seiner Rolle und Kompetenz bei der Bewertung und Bewältigung substanzieller Risiken durch Cyberangriffe.
Besprechung der neuen Regeln mit den Sicherheitsverantwortlichen sowie den für die Einreichungen zuständigen Revisions- und Finanzabteilungen zur Aufstellung eines Verfahrens zur Einhaltung der viertägigen Frist bei substanziellen Zwischenfällen.
Sorgen Sie dafür, dass alle wissen, wie der Schweregrad von Vorfällen im Bereich der Cybersicherheit ermittelt wird.
Sicherheitsbeauftragte müssen ein Verfahren zur Ermittlung und Bewertung von Cyberrisiken aufstellen. Dies beinhaltet unter anderem entsprechende Tools, die berücksichtigten Risiken − wie Angriffe von außen oder Datenverluste − und die Prozesse zu deren Bewältigung.
Verantwortliche für Sicherheit und Prüfwesen erstellen gemeinsam mit dem Vorstand einen Prozess zur Kontrolle des Cyber-Risikos durch den Vorstand (sofern noch nicht vorhanden). Dies kann auch die dauerhafte Einbindung der Cybersicherheit einschließlich Risikobewertungen, Risikofaktoren, Abhilfemaßnahmen und Investitionsbedarf in die Quartalsbesprechungen beinhalten.
Sicherheitsverantwortliche müssen Vorstandsmitglieder mit Cybersicherheitskompetenz bestimmen und befragen und in Jahresberichten und Proxy-Erklärungen angeben.
Risk360 ermittelt das Cyberrisiko in allen Schlüsselbereichen der Angriffskette:
Untersuchen Sie erkennbare Variablen und ermitteln Sie so das Risiko, dass Angreifer Schwachstellen bei Ihnen finden und ausnutzen.
Erkennen und begrenzen Sie Risiken anhand von Ereignissen, Sicherheitseinstellungen und Datenverkehr und berechnen Sie die Wahrscheinlichkeit einer Kompromittierung.
Erkennen Sie das Risiko für eine laterale Ausbreitung von Bedrohungen und prüfen Sie dazu unterschiedliche private Zugriffseinstellungen und Kennzahlen.
Analysieren und begrenzen Sie das Risiko einer Datenexfiltration.
Risk360
Die nächsten Schritte
Lassen Sie sich von unseren Experten zeigen, wie Zscaler Risk360 die Angriffsfläche Ihres Unternehmens verringert, laterale Bewegungen verhindert und das Risiko von Datenverlusten ausschließt.