- Die Securities and Exchange Commission (SEC) der Vereinigten Staaten hat neue Vorschriften eingeführt, die börsennotierte Unternehmen dazu verpflichten, Cyberangriffe innerhalb von vier Werktagen nach Feststellung, dass es sich um wesentliche Vorfälle handelt, offenzulegen.
- Wesentliche Ereignisse gelten als wesentlich, wenn sie von den Aktionären bei Anlageentscheidungen als wesentlich erachtet werden.
- Nach Cyberangriffen sind auch ausländische private Emittenten zu entsprechenden Offenlegungen verpflichtet.
- Die Offenlegungen müssen Informationen über den Cyberangriff enthalten, einschließlich seiner Art, seines Umfangs und seiner Chronologie, und in regelmäßigen Berichtseinreichungen enthalten sein (insbesondere auf 8-K-Formularen).
- Die neuen Regeln treten im Dezember in Kraft, kleinere Unternehmen haben jedoch weitere 180 Tage Zeit, bevor Offenlegungen auf Formular 8-K erforderlich sind. Wenn eine sofortige Offenlegung erhebliche Risiken für die nationale Sicherheit oder die öffentliche Sicherheit mit sich bringt, kann die Frist für die Offenlegung unter bestimmten Bedingungen verlängert werden.
Die USA Wertpapier- und Börsenkommission hat neue Vorschriften erlassen, die vorschreiben, dass börsennotierte Unternehmen Cyberangriffe innerhalb von vier Werktagen nach Feststellung, dass es sich um wesentliche Vorfälle handelt, offenlegen müssen.
Nach Angaben der Wall-Street-Aufsichtsbehörde sind wesentliche Ereignisse solche, die Aktionäre eines börsennotierten Unternehmens als bedeutsam erachten würden.bei der Investitionsentscheidung.“
Darüber hinaus hat die SEC neue Vorschriften erlassen, die ausländische private Emittenten dazu verpflichten, nach Cyberangriffen gleichwertige Offenlegungen bereitzustellen.
Wichtige Informationen, die bei der Offenlegung von Cyber-Verstößen erforderlich sind, stellt die SEC klar
„Ob ein Unternehmen eine Anlage durch einen Brand oder Millionen von Dateien durch einen Cyberangriff verliert, kann dies erhebliche Auswirkungen auf Investoren haben. SEC-Vorsitzender Gary Gensler gab an, dass die Mehrheit der börsennotierten Unternehmen Anlegern Offenlegungen zur Cybersicherheit zur Verfügung stellen.
„Ich glaube, dass sowohl Unternehmen als auch Investoren von einer konsistenteren, vergleichbareren und entscheidungsnützlicheren Offenlegung dieser Informationen profitieren würden. Indem sichergestellt wird, dass Unternehmen wesentliche Cybersicherheitsinformationen offenlegen, kommen die heutigen Regeln Investoren, Unternehmen und den miteinander verbundenen Märkten zugute.“
Börsennotierte Unternehmen sind nun verpflichtet, Einzelheiten zum Cyberangriff (einschließlich Art, Umfang und Zeitrahmen des Vorfalls) in regelmäßigen Berichtseinreichungen anzugeben, insbesondere auf 8-K-Formularen.
Die neuen Regeln für die Meldung von Cybersicherheitsvorfällen sollen im Dezember oder 30 Tage nach der Veröffentlichung im Bundesregister in Kraft treten.
Kleineren Unternehmen wird jedoch eine zusätzliche Frist von 180 Tagen gewährt, bevor Offenlegungen auf Formular 8-K erforderlich sind. Wenn der US-Generalstaatsanwalt feststellt, dass eine sofortige Offenlegung ein erhebliches Risiko für die nationale oder öffentliche Sicherheit darstellen würde, kann die Frist für die Offenlegung unter bestimmten Umständen verlängert werden.
Rechtzeitige Offenlegung zur Verbesserung der Transparenz
Die SEC gab ihre Absicht bekannt, diese neuen Regeln im März 2022 vor mehr als einem Jahr, im März 2021, zu verabschieden. Die neuen Regeln (PDF) Informieren Sie Anleger umgehend über Sicherheitsvorfälle, die börsennotierte Unternehmen betreffen, und verbessern Sie so ihr Verständnis für das Management und die Strategie von Cybersicherheitsrisiken.
Sie erfordern die Offenlegung der folgenden verstoßbezogenen Informationen (sofern zum Zeitpunkt der Einreichung von Formular 8-K verfügbar):
- Das Datum der Entdeckung des Vorfalls und sein aktueller Status (laufend oder gelöst).
- Eine prägnante Beschreibung der Art und des Ausmaßes des Vorfalls.
- Alle Informationen, die kompromittiert, geändert, abgerufen oder ohne Genehmigung verwendet wurden.
- Die Auswirkungen des Vorfalls auf den Geschäftsbetrieb des Unternehmens.
- Informationen zu den laufenden oder abgeschlossenen Sanierungsinitiativen des Unternehmens.
Von den betroffenen Unternehmen wird jedoch nicht erwartet, dass sie die technischen Details ihrer Reaktionspläne für Vorfälle oder Informationen über potenzielle Schwachstellen offenlegen, die sich auf ihre Reaktions- und Abhilfemaßnahmen auswirken könnten. Laut Lesley Ritter, Senior Vice President von Moody’s Investors Service, werden die neuen Regeln die Transparenz erhöhen, für kleinere Unternehmen dürften sie jedoch schwierig sein.
„Die heute von der US-Börsenaufsicht Securities and Exchange Commission verabschiedeten Offenlegungsregeln für Cybersicherheit werden für mehr Transparenz bei einem ansonsten undurchsichtigen, aber wachsenden Risiko sowie für mehr Konsistenz und Vorhersehbarkeit sorgen“, sagte Ritter gegenüber BleepingComputer.
„Verstärkte Offenlegung sollte Unternehmen dabei helfen, Praktiken zu vergleichen, und kann zu Verbesserungen bei der Cyber-Abwehr führen, aber kleinere Unternehmen mit weniger Ressourcen könnten es schwieriger haben, die neuen Offenlegungsstandards einzuhalten.“
Hervorgehobener Bildnachweis: Unsplash.
Source: Die SEC schreibt eine rechtzeitige Offenlegung von Cyberangriffen für börsennotierte Unternehmen vor
