Was ist die neue SEC-Entscheidung zur Offenlegung von Cybersicherheitsinformationen?
Die US-Börsenaufsicht SEC (Securities and Exchange Commission) hat neue Cybersicherheitsanforderungen für SEC-registrierte, börsennotierte Unternehmen erlassen, die die Offenlegung „wesentlicher“ Cybersicherheitsvorfälle und Risikomanagementprozesse vorschreiben. Das SEC-Mandat erhöht die Transparenz und Rechenschaftspflicht der Finanzmärkte in Bezug auf Cybersicherheitsvorfälle. Es trägt zudem dazu bei, die potenziellen Auswirkungen von Cyberbedrohungen auf Betrieb und Finanzlage besser zu verstehen.
Klicken Sie hier um die Checkliste herunterzuladen, oder lesen Sie weiter, um weitere Einzelheiten zur neuen SEC-Cybersicherheitsverordnung zu erfahren!
Wen betrifft die SEC-Entscheidung zur Cybersicherheit?
Die neue SEC-Regelung zur Cybersicherheit bietet Verbrauchern Transparenz bei Datenschutzverletzungen und ermöglicht eine umgehende Benachrichtigung über Cybersicherheitsvorfälle. Da Cybersicherheit und Compliance Hand in Hand gehen, betrifft die Regeländerung der SEC viele verschiedene Interessengruppen:
- Investoren benötigen Transparenz über Risikoniveaus, Sicherheitsmaßnahmen und Cybersicherheitsvorfälle
- Führungskräfte müssen ihre Datensicherheits-Statusmanagement und arbeiten mit der Finanz- und Rechtsabteilung zusammen, um ihre jährlichen Einreichungen vorzubereiten
- Die Vorstände müssen Cybersicherheitsexperten hinzuziehen, um die Aufsicht zu gewährleisten
- Datensicherheitsteams müssen ihre Fähigkeiten zur Erkennung und Meldung von Sicherheitsverletzungen stärken
Wichtige Termine zur Einhaltung der SEC-Regel
Es gibt spezifische Compliance-Termine, die sich je nach Art der Offenlegung unterscheiden. Kleinere berichtende Unternehmen („SRCs“) erhalten eine längere Compliance-Frist für die Meldung von Vorfällen:
- Die Offenlegungsfristen beginnen für Geschäftsjahre, die nach dem 15. Dezember 2023 enden. Alle Registranten müssen Offenlegungen vorlegen, beginnend mit den Jahresberichten für das Geschäftsjahr unter Verwendung von Formular 10-K und Formular 20-F Offenlegungen zur Cybersicherheit.
- Für die Offenlegung wesentlicher Cybersicherheitsvorfälle müssen Organisationen ab dem 18. Dezember 2023 folgende Vorschriften einhalten: Formular 8-K und 6-K. SRCs haben weitere 180 Tage Zeit, um die Vorschriften einzuhalten, und müssen bis zum 15. Juni 2024 mit der Einhaltung beginnen.
- Um die Anforderungen an strukturierte Daten zu erfüllen (d. h. Inline-XBRL-Tagging), müssen alle Registranten (einschließlich SRCs) mit dem Taggen ihrer Cybersicherheitsoffenlegungen in Form 10-K und Form 20-F in Inline-XBRL für Geschäftsjahre beginnen, die am oder nach dem 15. Dezember 2024 enden. Alle Registranten (einschließlich SRCs) müssen bis zum 18. Dezember 2024 mit dem Taggen ihrer Offenlegungen wesentlicher Cybersicherheitsvorfälle in Form 8-K und Form 6-K in Inline-XBRL beginnen.
- Ausländische private Emittenten müssen wesentliche Cybersicherheitsvorfälle auf Formular 6-K und ihre Strategie zum Risikomanagement und zur Governance der Cybersicherheit auf Formular 20-F offenlegen.
Wie können Unternehmen die neuen Cybersicherheitsstandards der SEC einhalten?
Um die regulatorischen Anforderungen zu erfüllen, müssen Unternehmen nun ihre Risikomanagementrichtlinien und -prozesse auf Formular 10-K offenlegen. Die für Formular 10-K benötigten Informationen umfassen:
- Beschreibung und Übersicht des Cybersicherheitsrisikoprogramms
- Beschreibung des Engagements und der Interaktionen mit Dritten
- Erläuterung der Schritte zur Verhinderung, Erkennung und Eindämmung von Cyber-Vorfällen
- Definieren von Strategien zur Reduzierung des Cybersicherheitsrisikos
- Ausführlicher Aktionsplan zur Kontinuität und Wiederherstellung im Falle einer Sicherheitsverletzung
- Wie sich Cybersicherheitsrisiken potenziell auf die finanzielle Gesundheit auswirken
Unternehmen müssen außerdem das Formular 8-K ausfüllen, um wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen zu melden. Die Vorfallmeldung umfasst spezifische Ereignisse, die von der SEC-Cybersicherheitsregel abgedeckt werden, wie z. B. kompromittierte Informationen, böswillige Angriffe, Systemstörungen und Ereignisse, die zu finanziellen Verlusten führen.
Darüber hinaus hat die SEC Richtlinien für die Offenlegung von Verstößen formalisiert. Unternehmen müssen:
- Geben Sie die Art des Verstoßes bekannt
- Beschreiben Sie die Art des Cybersicherheitsvorfalls
- Geben Sie Details zu allen betroffenen Daten an
- Detaillierte Darstellung der Auswirkungen auf den Gesamtbetrieb
- Bericht über den Stand der Sanierungsbemühungen
Checkliste zur Einhaltung der SEC-Vorschriften
Die Durchsetzung der Cybersicherheit durch die SEC ist in Kraft – halten Sie sich an die neue Regelung?
Laden Sie die SEC-Compliance-Checkliste herunter um sich auf die Bereiche zu konzentrieren, die Sie für das SEC-Cybersicherheitsrisikomanagement, die Strategie, die Governance und die Vorfalloffenlegung priorisieren müssen, einschließlich der folgenden Punkte:
- Verstehen Sie die SEC-Cybersicherheitsanforderungen
- Entdecken, kartieren, kennzeichnen und markieren Sie risikoreiche und kritische Geschäftsdaten, um Risiken zu erkennen, zu verhindern und zu mindern.
- Analysieren Sie die kompromittierten Daten und ermitteln Sie die offengelegten sensiblen, persönlichen Datensätze.
- Halten Sie die Fristen und Anforderungen der SEC zur Meldung von Verstößen entsprechend den betroffenen Wohnsitzen ein.
- Erstellen Sie Berichte über die Auswirkungen von Verstößen für Aufsichtsbehörden und Prüfer.
Wie BigID Unternehmen dabei unterstützt, Cybersicherheitsvorfälle zu verhindern und darauf zu reagieren, um die SEC-Compliance zu gewährleisten
Jede Datensicherheitsstrategie ist eine vielschichtige Aufgabe, die sorgfältige Planung, Implementierung und kontinuierliche Überwachung erfordert. Alles beginnt jedoch mit vollständiger Datentransparenz und -kontrolle. BigID nutzt einen datenzentrierten und risikobewussten Ansatz, um effektiv Verbesserung der Datensicherheit, Rationalisierung der Sanierung, die Einhaltung der Vorschriften sicherzustellen, Beschleunigen Sie die Reaktion auf Sicherheitsverletzungenund reduzieren letztendlich das Datenrisiko – im großen Maßstab. So unterstützt BigID Unternehmen bei der Prävention und Reaktion auf Cybersicherheitsvorfälle, um die neuen Cybersicherheitsregeln und -anforderungen der SEC einzuhalten:
Prävention von Cybersicherheitsvorfällen:
- Entdecken Sie dunkle, Schatten-, ROT-, doppelte, ähnliche, nicht geschäftskritische Daten und mehr.
- Karte, Beschriftung, Tag und Flagge Risiken und Schwachstellen sensibler, hochriskanter Daten.
- Katalogisieren Sie personenbezogene Daten, wie PI und PII, zurück zu einer Identität und einem Wohnsitz.
- Erkennen Sie toxische Datenkombinationen von zwei oder mehr Arten gesammelter sensibler Daten.
- Erkennen Sie lose Geheimnisse wie API-Schlüssel und Anmeldeinformationen über die Cloud und den Code.
Reaktion auf Cybersicherheitsvorfälle:
- Analysieren Sie die kompromittierten Daten und ermitteln Sie die offengelegten sensiblen, persönlichen Datensätze.
- Ermitteln Sie, wessen personenbezogene Daten betroffen waren durch Identitätsbewusste Mapping-Technologie von BigID.
- Ermitteln Sie, woher die Daten stammen, um die Auswirkungen zu begrenzen.
- Halten Sie die Fristen und Anforderungen für die Benachrichtigung bei Verstößen entsprechend den betroffenen Wohnsitzen ein.
- Erzeugen Berichte über die Auswirkungen von Sicherheitsverletzungen für Aufsichtsbehörden und Wirtschaftsprüfer.
Vereinbaren Sie noch heute ein Einzelgespräch mit einem unserer Sicherheitsexperten um mehr darüber zu erfahren, wie wir Ihnen helfen können, die SEC-Konformität zu erfüllen!
Autor
