SEC Cybersecurity-Offenlegung: Anforderungen und Auswirkungen

Die vier wesentlichen Anforderungen an die Berichterstattung sind:

Offenlegung von Cybersecurity-Vorfällen

Diese Änderung erfordert die Meldung eines "wesentlichen" Cybersecurity-Vorfalls an die SEC. Dies sollte auf Formular 8-K innerhalb von vier Geschäftstagen nach der "Feststellung der Wesentlichkeit" gemeldet werden. Der Antrag muss Folgendes enthalten:

• Art, Umfang und Zeitpunkt des Vorfalls

• Schätzung der wesentlichen Auswirkungen, die "vernünftigerweise wahrscheinlich" sind, einschließlich der Berücksichtigung qualitativer und quantitativer Faktoren

Wenn bei der Einreichung einige Informationen nicht verfügbar sind, kann das 8-K die Nichtverfügbarkeit offenlegen und später geändert werden, wenn die Informationen verfügbar sind. Die Vorschriften verlangen keine Offenlegung technischer Einzelheiten, des Status der Behebung oder des Status des Datenkompromisses.

Risikomanagement und Strategie für Cybersecurity

Diese Änderung erfordert die Meldung von (oder die Notwendigkeit zur) Bewertung, Identifizierung und Managementprozessen zum Umgang mit wesentlichen Cybersecurity-Bedrohungen. Dies muss jährlich auf Formular 10-K (oder Formular 20-F) offenlegt werden, und die Einreichung muss Folgendes enthalten:

• Ob Cybersecurity Teil des gesamten organisatorischen Risikomanagementsystems ist

• Ob die Prozesse die Nutzung von Prüfern, Beratern, Wirtschaftsprüfern oder Dritten für solche Prozesse beinhalten

• Ob irgendeine Risikobewertung Dritter eine Cybersecurity-Risikobewertung umfasst

• Ob Cybersecurity-Bedrohungen die Geschäftsstrategie, die Betriebsabläufe oder die finanziellen Bedingungen erheblich betroffen haben oder voraussichtlich betreffen werden‍

Governance von Vorstand und Management

Diese Änderung erfordert die Meldung der Governance-Struktur in Bezug auf Cybersecurity-Risiken auf Formular 10-K (oder Formular 20-F) jährlich, und die Einreichung muss Folgendes enthalten:

• Details zur Aufsicht des Vorstands über Cybersecurity-Risiken, insbesondere das für die Aufsicht zuständige Vorstandskomitee oder Unterkomitee sowie den Prozess, durch den der Vorstand über die Risiken informiert wird.

• Die Rolle, das Fachwissen und die festgelegten Prozesse des Managements zur Bewertung und Verwaltung von Cybersecurity-Bedrohungen, einschließlich Details der relevanten Erfahrungen von Mitgliedern und Ausschüssen, Überwachung, Erkennung, Minderung und Behebung von Vorfällen sowie des Prozesses zur Benachrichtigung des Vorstands über solche Risiken.

Wann treten die Anforderungen in Kraft?

• Die Anforderungen an die Offenlegung wesentlicher Vorfälle treten ab dem 18. Dezember 2023 in Kraft, wobei kleinere meldeplichtige Unternehmen einen Aufschub von 180 Tagen erhalten (15. Juni 2024).

• Die Offenlegungen zu jährlichem Risikomanagement, Strategie und Governance sind nach dem 15. Dezember 2023 wirksam.

Gibt es Ausnahmen?

Die einzige Ausnahme besteht darin, wenn der Attorney General der Vereinigten Staaten (der "AG") feststellt, dass eine sofortige Offenlegung ein "erhebliches Risiko für die nationale Sicherheit oder die öffentliche Sicherheit" darstellen würde und die SEC schriftlich über diese Feststellung informiert. Zu Beginn kann die Offenlegung bis zu 30 Tage lang verzögert werden, wie vom AG festgelegt, und kann um weitere 30 Tage mit einer weiteren Einschätzung des AG verlängert werden.