Die Wertpapiere und Die Exchange Commission (SEC) hat durch die Verabschiedung neuer Regeln, die darauf abzielen, Anlegern umfassende und standardisierte Informationen zu Risikomanagement, Strategie, Governance und Vorfällen im Bereich Cybersicherheit bereitzustellen, einen bedeutenden Schritt zur Verbesserung der Cybersicherheitsoffenlegungen für öffentliche Unternehmen unternommen.
Angenommen im Juli 2023, diese neuen Regeln kommen nach einem langwierigen Regelsetzungs- und öffentlichen Kommentarprozess und dienen als offizielle Anerkennung dafür, dass die allgegenwärtige Gefahr von Cybersicherheitsbedrohungen die Entscheidungsfindung von Anlegern beeinflussen kann.
Die Highlights: Was Sie wissen müssen
Der Kern von die neuen SEC-Regeln besteht darin, dass Unternehmen verpflichtet sind, sowohl wesentliche Cybersicherheitsvorfälle als auch Cybersicherheitsrisikomanagementprozesse standardisiert und nach bestimmten Fristen zu melden. Genauer:
Offenlegung von Vorfällen
Die endgültige Regel erfordert die Offenlegung aktueller Berichte (Punkt 1.05 in Formular 8K oder 6-K) innerhalb von vier Tagen nach „wesentlichen“ Cybersicherheitsvorfällen, die (1) die Art, den Umfang und den Zeitpunkt des Vorfalls und (2) die Auswirkungen oder die Wahrscheinlichkeit beschreiben Auswirkungen des Vorfalls auf den Registranten, einschließlich finanzieller und betrieblicher Auswirkungen.
Jährliche Offenlegungen
Die letzte Regel erfordert Offenlegungen in Jahresberichten (Formular 10-K oder 20-F), die Folgendes beschreiben: (1) den Prozess des Registranten zur Identifizierung, Bewertung und Verwaltung von Cybersicherheitsrisiken; (2) wie sich Risiken aus Cybersicherheitsbedrohungen wesentlich auf den Geschäftsbetrieb, die Strategie oder die finanziellen Bedingungen ausgewirkt haben oder dies nach vernünftigem Ermessen wahrscheinlich wesentlich beeinflussen wird; (3) die Überwachung der Cybersicherheitsrisiken durch den Vorstand des Registranten und (4) die Rolle des Managements bei der Bewertung und Bewältigung von Risiken durch Cybersicherheitsbedrohungen.
Die SEC verlangt von Unternehmen, sowohl wesentliche Cybersicherheitsvorfälle als auch Cybersicherheitsrisikomanagementprozesse auf standardisierte Weise zu melden.
Fristen
Die endgültige Regelung trat am 5. September 2023 in Kraft. Die jährliche Offenlegung der Cybersicherheit ist für Registranten erforderlich, deren Geschäftsjahre am 15. Dezember 2023 und danach beginnen. Die aktuelle Meldepflicht gemäß Ziffer 1.05 beginnt kurz darauf am 18. Dezember 2023, kleinere berichtende Unternehmen haben jedoch bis zum 15. Juni 2024 Zeit. Darüber hinaus gelten ab dem 15. und 18. Dezember 2024 zusätzliche Anforderungen an die Formatierung dieser jährlichen und aktuelle Berichtsoffenlegungen (d. h. Formatierung dieser Offenlegungen in Inline-XBRL, um eine automatisierte Durchsuchbarkeit und Analyse zu ermöglichen).
Die Details: Was die Regeln sagen
Es hat einen Vorfall gegeben – was muss offengelegt werden?
Die neuen Regeln erfordern die Offenlegung von Cybersicherheitsvorfällen, die als „wesentlich“ eingestuft werden (mehr dazu weiter unten), sowie die Art, den Umfang und den Zeitpunkt des Vorfalls sowie die einigermaßen wahrscheinlichen Auswirkungen des Vorfalls auf die Finanzlage und den Betrieb des Registranten.
Im Gegensatz zu früheren Versionen des Regelentwurfs besteht jedoch keine Verpflichtung, spezifische oder technische Informationen über die geplante Reaktion des Registranten auf den Vorfall oder seine potenziellen Schwachstellen in den Cybersicherheitssystemen offenzulegen.
Wie schnell muss die Offenlegung erfolgen?
Innerhalb von vier Werktagen! Eine Frist von vier Tagen für die Offenlegung eines Cybersicherheitsvorfalls in einer öffentlichen Akte mag knapp erscheinen, und das ist sie auch, aber in den Parametern der endgültigen Regelung ist mehr Flexibilität eingebaut, als auf den ersten Blick erkennbar ist.
Die Vier-Tage-Frist beginnt erst zu dem Zeitpunkt, an dem der Registrant festgestellt hat, dass es sich um einen „wesentlichen“ Cybersicherheitsvorfall handelt, und dass die Feststellung der Wesentlichkeit nur „ohne unangemessene Verzögerung“ erfolgen muss.
So flexibel der Standard auch sein mag, erlaubt er einem Registranten nicht, eine Untersuchung zu verlängern, bis der Vorfall vollständig behoben wurde, um die Meldung zu verzögern. Ein Registrant muss die 8-K-Offenlegung mit den zu diesem Zeitpunkt verfügbaren Informationen vornehmen und die ursprünglichen Offenlegungen später bei Bedarf durch eine Änderung von Punkt 1.05 ergänzen.