SEC Cybersecurity-Offenlegung: Anforderungen und Auswirkungen
03.09.2023
Interlynk
Das Risikomanagement in der Cybersicherheit, Strategien, Vorfälle und Governance können den Wert eines Unternehmens erheblich beeinflussen. Eine weniger als organisierte Offenlegung kann Investoren frustrieren, wie zuvor bei Sicherheitsvorfällen bei Equifax, Target, Yahoo! und SolarWinds erlebt.
Die US-amerikanische Wertpapier- und Börsenaufsichtsbehörde (SEC) hat endlich die standardisierten Berichtsvorgaben für US-amerikanische börsennotierte Unternehmen und vergleichbare Berichtsvorgaben für ausländische private Emittenten (nicht-US-Unternehmen, die in den USA Geschäfte machen) formalisiert und in Gang gesetzt.
Die Anforderungen zielen darauf ab, Offenlegungen in einer „konsistenten, vergleichbaren und entscheidungsnützlichen Weise“ zu gestalten.
Lass uns eintauchen!
Wer ist betroffen?
Alle Subjekte der Berichtspflichten gemäß dem Securities Exchange Act von 1934 sind von dieser Änderung betroffen. Dazu gehören alle börsennotierten Unternehmen, ausländische Privatgesellschaften, kleinere Berichtsgesellschaften und Unternehmensentwicklungsgesellschaften.
Was sind die Berichtspflichten?
Die vier wesentlichen Anforderungen an die Berichterstattung sind:
Offenlegung von Cybersecurity-Vorfällen
Diese Änderung erfordert die Meldung eines "wesentlichen" Cybersecurity-Vorfalls an die SEC. Dies sollte auf Formular 8-K innerhalb von vier Geschäftstagen nach der "Feststellung der Wesentlichkeit" gemeldet werden. Der Antrag muss Folgendes enthalten:
Art, Umfang und Zeitpunkt des Vorfalls
Schätzung der wesentlichen Auswirkungen, die "vernünftigerweise wahrscheinlich" sind, einschließlich der Berücksichtigung qualitativer und quantitativer Faktoren
Wenn bei der Einreichung einige Informationen nicht verfügbar sind, kann das 8-K die Nichtverfügbarkeit offenlegen und später geändert werden, wenn die Informationen verfügbar sind. Die Vorschriften verlangen keine Offenlegung technischer Einzelheiten, des Status der Behebung oder des Status des Datenkompromisses.
Risikomanagement und Strategie für Cybersecurity
Diese Änderung erfordert die Meldung von (oder die Notwendigkeit zur) Bewertung, Identifizierung und Managementprozessen zum Umgang mit wesentlichen Cybersecurity-Bedrohungen. Dies muss jährlich auf Formular 10-K (oder Formular 20-F) offenlegt werden, und die Einreichung muss Folgendes enthalten:
Ob Cybersecurity Teil des gesamten organisatorischen Risikomanagementsystems ist
Ob die Prozesse die Nutzung von Prüfern, Beratern, Wirtschaftsprüfern oder Dritten für solche Prozesse beinhalten
Ob irgendeine Risikobewertung Dritter eine Cybersecurity-Risikobewertung umfasst
Ob Cybersecurity-Bedrohungen die Geschäftsstrategie, die Betriebsabläufe oder die finanziellen Bedingungen erheblich betroffen haben oder voraussichtlich betreffen werden
Governance von Vorstand und Management
Diese Änderung erfordert die Meldung der Governance-Struktur in Bezug auf Cybersecurity-Risiken auf Formular 10-K (oder Formular 20-F) jährlich, und die Einreichung muss Folgendes enthalten:
Details zur Aufsicht des Vorstands über Cybersecurity-Risiken, insbesondere das für die Aufsicht zuständige Vorstandskomitee oder Unterkomitee sowie den Prozess, durch den der Vorstand über die Risiken informiert wird.
Die Rolle, das Fachwissen und die festgelegten Prozesse des Managements zur Bewertung und Verwaltung von Cybersecurity-Bedrohungen, einschließlich Details der relevanten Erfahrungen von Mitgliedern und Ausschüssen, Überwachung, Erkennung, Minderung und Behebung von Vorfällen sowie des Prozesses zur Benachrichtigung des Vorstands über solche Risiken.
Wann treten die Anforderungen in Kraft?
Die Anforderungen an die Offenlegung wesentlicher Vorfälle treten ab dem 18. Dezember 2023 in Kraft, wobei kleinere meldeplichtige Unternehmen einen Aufschub von 180 Tagen erhalten (15. Juni 2024).
Die Offenlegungen zu jährlichem Risikomanagement, Strategie und Governance sind nach dem 15. Dezember 2023 wirksam.
Gibt es Ausnahmen?
Die einzige Ausnahme besteht darin, wenn der Attorney General der Vereinigten Staaten (der "AG") feststellt, dass eine sofortige Offenlegung ein "erhebliches Risiko für die nationale Sicherheit oder die öffentliche Sicherheit" darstellen würde und die SEC schriftlich über diese Feststellung informiert. Zu Beginn kann die Offenlegung bis zu 30 Tage lang verzögert werden, wie vom AG festgelegt, und kann um weitere 30 Tage mit einer weiteren Einschätzung des AG verlängert werden.
Die SEC hat klare Signale gesendet, was sie als beste Praktiken in einer Compliance-Organisation erwartet. Speziell:
Cybersecurity Governance und Aufsicht Unternehmen sollten Governance und Aufsicht einrichten, die die Basis verbessert, einschließlich der Hinzufügung von Vorstands- und Führungsteams mit Cybersecurity-Expertise, der Einrichtung von Ausschüssen für Aufsicht und Incident Management sowie der Formalisierung der Prozesse für das Cybersecurity-Management und die Berichterstattung an den Vorstand.
Offenlegungssteuerungen und -prozesse Die Berichtspflichten legen nahe, einen ‚Wesentlichkeits‘-Schwellenwert durch die Teams für das Management und die Überwachung von Cybersecurity-Zwischenfällen mit Automatisierung zur Bewertung der wesentlichen Auswirkungen, formalisierten Prozessen zur Einbeziehung von Rechtsabteilung, IT und externem Support sowie formalisierten Prozessen für die Benachrichtigung und Einbeziehung des Vorstands nach Bedarf einzurichten.
Aktualisierung des Incident Response Plans Dies ist die offensichtlichste Auswirkung der Vorschrift. Alle Sicherheitspläne müssen aktualisiert werden, um die Rechtsabteilung, ein beliebiges Cybersecurity-Unterkomitee und die Unterstützung durch Drittexperten einzubeziehen. Angesichts neuer Offenlegungsanforderungen müssen Organisationen ihre Pläne auf Compliance überprüfen und Änderungen innerhalb der verfügbaren Zeit (vier Tage) vornehmen.
Interlynk bemüht sich, die Sicherheitsoffenlegung einfach, offensichtlich und automatisiert zu gestalten. Wir freuen uns, Ihre Fragen zu beantworten.
Bitte zögern Sie nicht, uns unter hello@interlynk.io oder über interlynk.io zu kontaktieren.
INHALTSTABELLE