Die US-Börsenaufsichtsbehörde (Securities and Exchange Commission) hat gestern neue Regeln bekannt gegeben, die börsennotierte Unternehmen dazu verpflichten, Cybersicherheitsvorfälle innerhalb von vier Werktagen offenzulegen.
SEC-Vorsitzender Gary Gensler sagte, die Offenlegung „könnte für Anleger von Bedeutung sein“ und könnte ihnen sowie den sie verbindenden Unternehmen und Märkten zugute kommen.
„Derzeit stellen viele börsennotierte Unternehmen ihren Anlegern Offenlegungen zur Cybersicherheit zur Verfügung. Ich denke jedoch, dass sowohl Unternehmen als auch Investoren davon profitieren würden, wenn diese Offenlegung konsistenter, vergleichbarer und entscheidungsnützlicher erfolgen würde“, sagte er.
Die neuen Regeln wurden im März 2022 vorgeschlagen, nachdem die SEC den Anstieg der Cybersicherheitsrisiken festgestellt hatte, der sich aus der Umstellung von Unternehmen auf Fernarbeit, der Verlagerung von mehr Abläufen ins Internet, der Nutzung digitaler Zahlungen und der zunehmenden Abhängigkeit von Drittanbietern für Dienste wie Cloud-Computing-Technologie ergab und wie Cyberkriminelle Cybersicherheitsvorfälle monetarisieren können.
Was ist die Cyber-Offenlegungsregel der SEC?
Nach den neuen Regeln müssen Unternehmen das brandneue 8-K-Formular ausfüllen, dem Punkt 1.05 hinzugefügt wird, um Cybersicherheitsvorfälle offenzulegen. Es erfordert die Offenlegung und Beschreibung der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie der wesentlichen oder wahrscheinlich wahrscheinlichen wesentlichen Auswirkungen, einschließlich der Finanzlage und der Betriebsergebnisse.
Wenn der Vorfall erhebliche Auswirkungen hat, muss das Unternehmen ihn innerhalb von vier Tagen melden. Wenn der US-Generalstaatsanwalt jedoch der Ansicht ist, dass die sofortige Offenlegung ein Risiko für die nationale oder öffentliche Sicherheit darstellt, könnte sich die Offenlegung verzögern.
Die neue Verordnung verlangt von Unternehmen, ihren Prozess zur Bewertung von Cybersicherheitsbedrohungen zu beschreiben, wie ihr Vorstand Cybersicherheitsbedrohungen überwacht und wie das Management die Bedrohung bewertet.
Ausländische Unternehmen werden das geänderte 6-K-Formular für die Offenlegung von Cybersicherheitsvorfällen und das geänderte 20-F-Formular für die regelmäßige Offenlegung verwenden.
Wie viel kostet ein Datenverstoß ein Unternehmen?
Im diesjährigen „Cost of a Data Breach Report“ von IBM Security betrugen die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2023 4,45 Millionen US-Dollar, ein Anstieg von 2,3 % gegenüber 2022, als sie 4,35 Millionen US-Dollar betrugen. Die Vereinigten Staaten sind seit 13 Jahren in Folge führend bei den höchsten Kosten für Datenschutzverletzungen. In diesem Jahr gehörten der Nahe Osten, Kanada, Deutschland und Japan ebenfalls zu den fünf Ländern mit den teuersten Datenschutzverletzungen.
Bei Ransomware-Angriffen zahlten Unternehmen, die die Strafverfolgung ausschlossen, 9,6 % mehr und erlebten mit 33 Tagen einen längeren Verstoß.
Nur ein Drittel der Unternehmen stellte selbst Datenschutzverletzungen fest, der Rest wurde von den Angreifern selbst oder von Dritten gemeldet. Unter den Branchen verzeichnete das Gesundheitswesen in diesem Jahr in den USA die höchsten Kosten durch Datenschutzverletzungen, gefolgt von den Sektoren Finanzen, Pharma, Energie und Industrie.