SEC-Cybersecurity-Offenlegung: Anforderungen und Auswirkungen

Die vier wesentlichen Berichtsanforderungen sind:

Offenlegung von Cybersicherheitsvorfällen

Diese Änderung erfordert die Meldung jedes „wesentlichen“ Cybersicherheitsvorfalls an die SEC. Dies sollte auf Formular 8-K innerhalb von vier Werktagen nach der „Feststellung der Wesentlichkeit“ gemeldet werden. Die Einreichung muss Folgendes enthalten:

• Art, Umfang und Zeitpunkt des Vorfalls

• eine „hinreichend wahrscheinliche“ Schätzung der wesentlichen Auswirkungen, einschließlich der Berücksichtigung qualitativer und quantitativer Faktoren

Wenn bei der Einreichung einige Informationen nicht verfügbar sind, kann das Formular 8-K das Fehlen dieser Informationen offenlegen und später geändert werden, sobald die Informationen vorliegen. Die Regeln erfordern keine Offenlegung von technischen Details, dem Status der Behebung oder dem Ausmaß der Datenkompromittierung.

Risikomanagement und Strategie im Bereich Cybersicherheit

Diese Änderung erfordert die Berichterstattung über alle (oder die Notwendigkeit von) Bewertungs-, Identifikations- und Managementprozesse zur Bewältigung wesentlicher Cybersicherheitsbedrohungen. Dies muss jährlich auf Formular 10-K (oder Formular 20-F) offengelegt werden, und die Einreichung muss Folgendes umfassen:

• Ob Cybersicherheit Teil des gesamten Risikomanagementsystems der Organisation ist

• Ob die Prozesse die Hinzuziehung von Gutachtern, Beratern, Prüfern oder Dritten für diese Prozesse beinhalten

• Ob eine Risikobewertung durch Dritte auch eine Risikobewertung der Cybersicherheit umfasst

• Ob Cybersicherheitsbedrohungen die Geschäftsstrategie, den Betrieb oder die Finanzlage wesentlich beeinflusst haben oder mit hinreichender Wahrscheinlichkeit beeinflussen werden‍

Governance von Vorstand und Management

Diese Änderung erfordert die jährliche Berichterstattung über die Governance-Struktur in Bezug auf Cybersicherheitsrisiken auf Formular 10-K (oder Formular 20-F), und die Einreichung muss Folgendes umfassen:

• Details zur Aufsicht des Vorstands über Cybersicherheitsrisiken, insbesondere zu dem für die Aufsicht zuständigen Vorstands- oder Unterausschuss und dem Verfahren, durch das der Vorstand über die Risiken informiert wird.

• Die Rolle des Managements, sein Fachwissen und seine festgelegten Prozesse bei der Bewertung und Bewältigung von Cybersicherheitsbedrohungen, einschließlich Einzelheiten zu den relevanten Erfahrungen der Mitglieder und Ausschüsse, zur Überwachung, Erkennung, Schadensbegrenzung und Behebung von Vorfällen sowie dem Prozess der Benachrichtigung des Vorstands über solche Risiken.

Wann treten die Anforderungen in Kraft?

• Die Anforderungen zur Offenlegung wesentlicher Vorfälle treten ab dem 18. Dezember 2023 in Kraft, wobei kleinere berichtende Unternehmen einen Aufschub von 180 Tagen erhalten (15. Juni 2024).

• Die jährlichen Offenlegungen zum Risikomanagement, zur Strategie und zur Governance treten nach dem 15. Dezember 2023 in Kraft.

Gibt es Ausnahmen?

Die einzige Ausnahme besteht darin, wenn der Justizminister der Vereinigten Staaten (der „AG“) feststellt, dass eine sofortige Offenlegung ein „erhebliches Risiko für die nationale Sicherheit oder die öffentliche Sicherheit“ darstellen würde, und der SEC diese Feststellung schriftlich mitteilt. Zunächst kann die Offenlegung auf Anweisung des Justizministers um bis zu 30 Tage verzögert und nach einer erneuten Prüfung durch den Justizminister um weitere 30 Tage verlängert werden.