Neue Cybersicherheitsverordnung der SEC
Die Securities and Exchange Commission (SEC) hat neue Regeln verabschiedet, die Unternehmen zur Offenlegung wesentlicher Cybersicherheitsvorfälle sowie zu ihrem Cybersicherheitsrisikomanagement, ihrer Strategie und ihrer Governance verpflichten. Ziel ist es, Investoren konsistente und vergleichbare Informationen für fundierte Entscheidungen bereitzustellen. Die Regeln gelten sowohl für inländische als auch für ausländische private Emittenten. Die neuen Vorschriften treten 30 Tage nach Veröffentlichung im Federal Register in Kraft. Die Offenlegungsfristen beginnen für Geschäftsjahre, die am oder nach dem 15. Dezember 2023 enden.
Die Bedeutung der neuen SEC-Regeln
Die neuen Regeln tragen entscheidend dazu bei, die Transparenz und Rechenschaftspflicht der Finanzmärkte in Bezug auf Cybersicherheitsvorfälle zu erhöhen. Indem Unternehmen verpflichtet werden, solche Vorfälle und ihre Risikomanagementansätze offenzulegen, können Investoren die potenziellen Auswirkungen von Cybersicherheitsbedrohungen auf die Geschäftstätigkeit und die finanzielle Leistung eines Unternehmens besser verstehen.
Wen die neuen Regeln der SEC betreffen
Die Vorschriften richten sich an börsennotierte Unternehmen, die bei der SEC registriert sind, darunter sowohl inländische als auch ausländische private Emittenten. Diese Unternehmen sind verpflichtet, die vorgeschriebenen Angaben zur Cybersicherheit in ihren Jahresberichten sowie auf Formular 8-K (für wesentliche Vorfälle) bzw. Formular 6-K (für ausländische private Emittenten) gemäß den vorgegebenen Fristen zu machen.
Liste der neuen Regeln der SEC
Regel 1: Offenlegung wesentlicher Cybersicherheitsvorfälle
- Registranten müssen alle wesentlichen Cybersicherheitsvorfälle offenlegen, die sie erleben.
- Die Offenlegung sollte die wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie seine wesentlichen Auswirkungen oder die mit hinreichender Wahrscheinlichkeit wahrscheinlichen wesentlichen Auswirkungen auf den Registranten umfassen.
- Die Offenlegung muss im neuen Punkt 1.05 des Formulars 8-K erfolgen.
- Im Allgemeinen ist die Offenlegung auf Formular 8-K vier Werktage fällig, nachdem der Registrant festgestellt hat, dass der Cybersicherheitsvorfall wesentlich ist.
- Die Offenlegung kann aufgeschoben werden, wenn eine sofortige Offenlegung ein erhebliches Risiko für die nationale oder öffentliche Sicherheit darstellen würde.
Regel 2: Offenlegung des Risikomanagements, der Strategie und der Governance im Bereich Cybersicherheit
- Registranten müssen wesentliche Informationen über ihre Prozesse zur Bewertung, Identifizierung und Bewältigung wesentlicher Risiken durch Cybersicherheitsbedrohungen offenlegen.
- Sie müssen außerdem die wesentlichen Auswirkungen oder die hinreichend wahrscheinlichen wesentlichen Auswirkungen der Risiken aus Cybersicherheitsbedrohungen und früheren Cybersicherheitsvorfällen offenlegen.
- In der Offenlegung muss die Aufsicht des Vorstands über die Risiken aus Cybersicherheitsbedrohungen sowie die Rolle und das Fachwissen des Managements bei der Bewertung und Bewältigung dieser Risiken beschrieben werden.
- Diese Offenlegung wird als Artikel 106 der Verordnung SK hinzugefügt und ist im Jahresbericht eines Registranten auf Formular 10-K erforderlich.
Regel 3: Vergleichbare Angaben für ausländische private Emittenten
- Ausländische private Emittenten sind außerdem verpflichtet, vergleichbare Angaben zu wesentlichen Cybersicherheitsvorfällen auf Formular 6-K zu machen.
- Sie müssen außerdem Angaben zum Risikomanagement, zur Strategie und zur Governance der Cybersicherheit auf Formular 20-F machen.
Regel 4: Datum des Inkrafttretens und Fristen:
- Die endgültigen Regeln treten 30 Tage nach der Veröffentlichung im Federal Register in Kraft.
- Die Angaben auf den Formularen 10-K und 20-F sind für Geschäftsjahre fällig, die am oder nach dem 15. Dezember 2023 enden.
- Die Offenlegungen gemäß den Formularen 8-K und 6-K sind 90 Tage nach dem Veröffentlichungsdatum im Federal Register oder am 18. Dezember 2023 fällig, je nachdem, welcher Termin später liegt.
- Kleinere berichtende Unternehmen haben zusätzliche 180 Tage Zeit, bevor sie mit der Offenlegung gemäß Formular 8-K beginnen müssen.
- Registranten müssen die gemäß den endgültigen Regeln erforderlichen Offenlegungen ab einem Jahr nach der erstmaligen Erfüllung der entsprechenden Offenlegungspflicht in Inline XBRL kennzeichnen.
Cybersicherheitsvorfall vs. Sicherheitsverletzung
Cybersicherheitsvorfälle (oder Sicherheitsvorfälle) und Datenlecks werden manchmal synonym verwendet. Obwohl jede Art von Datenleck als schwerwiegender Sicherheitsvorfall gilt, ist nicht jedes Sicherheitsvorfall auch ein Datenleck. Ein Sicherheitsvorfall ist jedes Ereignis, das ein Computersystem oder Netzwerk potenziell schädigen kann. Dies kann ein versuchter Cyberangriff, eine Virusinfektion oder ein unbefugter Datenzugriff sein. Ein Datenleck hingegen ist eine spezielle Art von Sicherheitsvorfall, bei dem sensible oder vertrauliche Informationen unbefugt abgerufen, offengelegt oder gestohlen werden. Die neuen Vorschriften der SEC verlangen die Offenlegung aller wesentlichen Cybersicherheitsvorfälle, darunter auch, jedoch nicht beschränkt auf, Datenschutzverletzungen.
Wie sich Unternehmen mit BigID vorbereiten können
Eine moderne Datensicherheitsstrategie beginnt mit vollständiger Datentransparenz und -kontrolle. BigID nutzt einen datenzentrierten und risikobewussten Ansatz, um die Datensicherheit effektiv zu verbessern, die Behebung von Problemen zu optimieren, die Compliance sicherzustellen, die Reaktion auf Sicherheitsverletzungen zu beschleunigen und letztendlich das Datenrisiko zu reduzieren – und zwar im großen Maßstab. So können sich Unternehmen auf die neuen Cybersicherheitsregeln und -anforderungen der SEC vorbereiten und diese einhalten:
Umfassende Datenrisikobewertungen
- BigIDs Bewertung des Datenrisikos Berichte unterscheiden sich von herkömmlichen Bewertungen. Dank der umfassenden Abdeckung aller Datentypen und -standorte (strukturiert und unstrukturiert, Cloud, Hybrid und On-Premises) berücksichtigen unsere Bewertungen alle Ihre Informationen, unabhängig von ihrem Speicherort. Unser breites Spektrum an Anwendungsfällen zur Datensicherheit aggregiert verschiedene Risikoindikatoren und stärkt so Ihre Bewertung. Im Gegensatz zu anderen Methoden, die Wochen oder Monate dauern, sind die Datenrisikobewertungen von BigID innerhalb weniger Stunden abgeschlossen. Das spart Ihnen Zeit und liefert Ihnen umsetzbare Erkenntnisse.
Identifizierungsbasierte Reaktion auf Sicherheitsverletzungen
- Die identitätsbasierte Datenleckanalyse von BigID bewertet effektiv Umfang und Ausmaß eines Datenlecks. Ordnen Sie alle personenbezogenen Daten (PII) und persönlichen Informationen (PI) nahtlos den entsprechenden Identitäten (Entitäten) und Wohnsitzen zu und inventarisieren Sie sie. Identifizieren Sie die betroffenen Benutzer und persönlichen Daten. Erstellen Sie automatisierte Berichte für Aufsichtsbehörden und Prüfer, um die Einhaltung der Compliance-Anforderungen sicherzustellen. Identifizieren Sie außerdem die Wohnsitzinformationen der Benutzer, um Ihre Reaktion an die spezifischen rechtlichen Anforderungen anzupassen und Ihren gesamten Reaktionsprozess zu beschleunigen.
Datenverwaltung, -inventarisierung und -exploration
- Daten-Governance ist ein zentraler Bestandteil einer soliden Datensicherheitsstrategie. Sie bildet die Grundlage für einen besseren Schutz, wo Ihre sensiblen Daten gespeichert sind, wie lange sie dort gespeichert sind und wer darauf zugreifen kann. BigID vereint Datensicherheit und -Governance, um die Verwaltung und den Schutz Ihrer Daten zu optimieren und zu automatisieren. Nutzen Sie trainierbare KI- und ML-Techniken, um sensible Daten besser zu entdecken, zu untersuchen und zu inventarisieren. Setzen Sie zielgerichtete Korrekturmaßnahmen ein und reduzieren Sie das Risiko. So verändern Sie die Wahrnehmung und den Schutz Ihrer Daten.
Schnelleinstieg ins Data Security Posture Management (DSPM)
- Da hybride Datenumgebungen stetig wachsen und sich weiterentwickeln, ist DSPM entscheidend für das Verständnis und die Minimierung von Datenrisiken. Die branchenführende DSPM-Plattform von BigID ermöglicht Ihnen die zentrale Erkennung, Untersuchung und Behebung kritischer Datenrisiken und Schwachstellen in hybriden Umgebungen. Weisen Sie Schweregrad und Priorität basierend auf dem Kontext der Daten zu, einschließlich Sensibilität, Standort, Zugänglichkeit und mehr. Überwachen Sie kontinuierlich verdächtige Aktivitäten, identifizieren Sie potenzielle Insider-Bedrohungen und analysieren Sie die Details gründlich.
Durchsetzung von Datensicherheits- und Compliance-Richtlinien
- Nutzen Sie vorgefertigte Vertraulichkeitsklassifizierungen und Sicherheitsrichtlinien, die mit Compliance-Frameworks wie NIST, CISA, PCI und jetzt auch der SEC übereinstimmen und so eine effektive Verwaltung und den Schutz der richtigen Daten ermöglichen. Erstellen und implementieren Sie Datenverwaltungs- und Sicherheitsrichtlinien, einschließlich der Aufbewahrung, Minimierungund Zugangsmanagement Richtlinien. Sobald Richtlinien ausgelöst werden, werden optimierte Arbeitsabläufe mit den richtigen Personen und Tools gestartet. Überprüfen Sie, ob Daten aufbewahrt oder verworfen werden müssen, und führen Sie automatisch Sanierung Aktionen mit dem richtigen Tool Ihrer Wahl. Verwalten Sie Ihre Daten, als ob die Sicherheit davon abhinge.
BigID unterstützt Unternehmen jeder Größe dabei, ihre Daten zu verwalten, zu schützen und optimal zu nutzen, egal wo sie sich befinden – vor Ort oder in der Cloud. Vereinbaren Sie noch heute ein Einzelgespräch mit einem unserer Sicherheitsexperten um mehr darüber zu erfahren, wie wir Ihnen helfen können, die SEC-Konformität zu erfüllen!
Autor
