Die SEC geht mit neuer Cybersicherheitsregel hart vor

Von Danny Bradbury • 10 August 2023

Die Securities and Exchange Commission (SEC) hat gerade ihre Haltung gegenüber öffentlichen Unternehmen in Bezug auf Cybersicherheit verschärft. Am 26. Juli veröffentlichte es seine Cybersicherheitsrisikomanagement, Strategie, Governance und Offenlegung von Vorfällen Regel. Ursprünglich im letzten Jahr vorgeschlagen, gilt es für börsennotierte Unternehmen und schreibt vor, dass sie die SEC innerhalb von vier Tagen über einen schwerwiegenden Verstoß gegen die Cybersicherheit informieren müssen.

Dies ist der jüngste Schritt in einem langsamen Vorstoß zur Förderung der Offenlegung von Sicherheitsvorfällen, der 2011 unter Anleitung der Mitarbeiter der SEC begann. Darin heißt es, dass verschiedene Verordnungen der Kommission die Offenlegung von Cybersicherheitsvorfällen erzwingen könnten, auch wenn es dafür keine explizite Regelung gebe. Im Jahr 2018 gab die Kommission Auslegungsleitlinien heraus und betonte, dass Unternehmen Cybersicherheitsvorfälle offenlegen könnten. Allerdings waren diese Offenlegungen immer noch lückenhaft und erfolgten an verschiedenen Stellen mit unterschiedlichem Detaillierungsgrad.

Die neue Regelung soll dies ändern, indem sie explizit einheitliche Anforderungen für die Offenlegung von Sicherheitsvorfällen vorschreibt. Unternehmen müssen das Formular 8-K ausfüllen, ein beliebtes Offenlegungsformular, das dann auf der Website der Kommission verfügbar ist.

Die Offenlegung umfasst eine kurze Beschreibung des Vorfalls, seinen Umfang zum Zeitpunkt seiner Entdeckung, ob er andauert und die Auswirkungen auf den Betrieb. Die Regel schreibt außerdem vor, dass Unternehmen ihre Prozesse zur Bewertung von Cybersicherheitsrisiken beschreiben und darlegen, wie Vorstand und Management diese Risiken überwachen.

Reaktion

Nicht jeder war ein Fan der neuesten Regel. Melissa MacGregor, stellvertretende Generalanwältin und Unternehmenssekretärin der Securities Industry and Financial Markets Association (SIFMA), befürchtete, dass die Regel zu früh zu viel verlangte. Die Regel „verpflichtet die öffentliche Offenlegung von erheblich zu vielen, zu sensiblen und höchst subjektiven Informationen zu einem vorzeitigen Zeitpunkt, ohne die erforderliche Rücksichtnahme auf die Aufsichtsbehörden öffentlicher Unternehmen oder relevante auf Cybersicherheit spezialisierte Agenturen“, sagte sie sagte in einer Erklärung gegenüber der Washington Post.

Schreiben für Das Center for Cybersecurity Policy and Law, Harley Geiger, Rechtsanwältin der Anwaltskanzlei Venable LLP, warnte ebenfalls vor der kurzen Offenlegungsfrist. „Als allgemeine Best Practice sollten laufende Cybervorfälle geheim gehalten werden, bis sie eingedämmt und der Angriffsvektor abgeschaltet ist, aber die Regelung der SEC wird dieses Spielbuch ändern“, sagte er.

Die SEC hatte die Regel etwas abgemildert und den Umfang der Offenlegung auf die wesentlichen Details und den Umfang des Sicherheitsvorfalls sowie etwaige wesentliche Auswirkungen auf das Unternehmen beschränkt. Es gab dem Generalstaatsanwalt außerdem die Befugnis, die Offenlegung um 30 Tage zu verschieben.

„Keine dieser Änderungen berücksichtigt jedoch die Bedenken, dass die öffentliche Offenlegung nicht eingedämmter oder ungemilderter Cybervorfälle das Risiko birgt, dass Angreifer auf nicht behobene Schwachstellen aufmerksam gemacht werden und weiteren Schaden anrichten“, sagte Geiger. „Von der AG-Verzögerung dürfte nur in Ausnahmefällen Gebrauch gemacht werden.“

Auch im Sicherheitsbereich gab es Vorbehalte. Tara Wisniewski, EVP für Interessenvertretung, globale Märkte und Mitgliederengagement bei (ISC)2, der gemeinnützigen Sicherheitsorganisation, die die CISSP-Zertifizierung regelt, war besorgt darüber, dass die Regel nicht detailliert genug sei.

„Obwohl wir die Grundprinzipien der öffentlichen Offenlegung unterstützen, um Aktionäre, Kunden und andere Interessengruppen zu informieren und zu schützen, ist das Urteil der SEC besorgniserregend vage“, sagte Wisniewski Berichten zufolge sagte. „Es wirft mehr Fragen als Antworten auf und kann für Cyber-Experten zu Unklarheiten führen.“

Andere Vorschläge

Branchengruppen machen sich auch Sorgen über verschiedene Aspekte der Cybersicherheits- und Risikomanagementregeln der SEC. Im Juni hat die Securities Industry and Financial Markets Association (SIFMA) ärgerte sich über die Verwirrung zwischen einigen anderen Regeln in der Pipeline der SEC.

Offenlegungen jeglicher Art sind Gegenstand dieser anderen vorgeschlagenen Regeln. Einer würde Verordnung SP erweitern, das den Kundendatenschutz für Broker-Dealer, Investmentgesellschaften und registrierte Berater abdeckt. Die Regel sieht vor, dass sie innerhalb von 30 Tagen schriftliche Reaktionspläne für Cybersicherheitsvorfälle verabschieden, einschließlich Benachrichtigungen über die Offenlegung von Verstößen. Außerdem wird der Anwendungsbereich der Verordnung ausgeweitet, indem er auf Transferagenten ausgeweitet wird und die Definition von Kundeninformationen auf intern und von Dritten erhobene Daten ausgeweitet wird.

Andere Regeln konzentrieren sich auf das Cybersicherheitsrisikomanagement, darunter Regel 10, die für Broker-Dealer und Teilnehmer an Wertpapier-Swaps gelten würde. Dies erfordert, dass sie die Kommission unverzüglich über alle Sicherheitsverstöße informieren, außerdem regelmäßig Cybersicherheitsrisiken bewerten und dokumentieren und die Öffentlichkeit sowohl über Risiken als auch über Verstöße auf ihren Websites informieren. Sie müssten außerdem Cybersicherheitskontrollen implementieren und dokumentieren und einen Plan zur Reaktion auf Vorfälle erstellen.

Die SEC hat eine separates Set der vorgeschlagenen Risikomanagementregeln für Berater und Fonds, wobei die bestehenden Risikooffenlegungs- und Aufzeichnungsregeln um Cybersicherheitsrisiken und -richtlinien erweitert werden. Sie würden Berater und Investmentfonds dazu zwingen, Offenlegungen zu Cybersicherheitsrisiken in das Formular ADV aufzunehmen, das das Offenlegungsformular für andere Dinge wie finanzielle Risiken und Interessenkonflikte ist. Dokumentierte Cybersicherheitsrichtlinien würden ebenfalls verpflichtend werden.

„Die Kommission hat keine Leitlinien in einem umsetzbaren Format hinsichtlich der erheblichen Überschneidungen zwischen dem Verordnungs-SP-Vorschlag und dem Regel-10-Vorschlag sowie verwandten Vorschlägen bereitgestellt“, sagte SIFMA und warnte, dass die SEC den SP-Vorschlag mit den anderen harmonisieren sollte.

Schließlich verfolgt die SEC Änderungen gemäß den Regulation Systems Compliance and Integrity Rules der SEC aus dem Jahr 2014, die sie herausgegeben hat, um die Sicherheit von Handelssystemen zu gewährleisten. Durch die Änderungen würden die Vorschriften auf Broker-Dealer, Repositories mit Wertpapier-Swap-Daten und weitere Clearingstellen ausgeweitet. Es würde auch mehr Anforderungen auferlegen, einschließlich der Überwachung der Sicherheit und Geschäftskontinuität von Dritten wie Cloud-Dienstanbietern und der Einführung von Systemzugriffskontrollen (die im SCI überraschenderweise nicht vorgeschrieben waren).

Das im Juli verabschiedete Dokument der SEC zur Cybersicherheitsregel enthielt Zugeständnisse als Reaktion auf einige Kommentare sowie einige handfeste Gegenmaßnahmen für andere. Unabhängig davon, ob die Menschen das Gefühl haben, dass die Regelung zu weit ging oder nicht, ist die Tatsache, dass die Kommission ernsthafte Vorschriften erlässt, um ein wachsendes Cybersicherheitsrisiko zu klären, lobenswert. Tatsächlich ist die größte Frage im Zusammenhang mit der Regel, warum es so lange gedauert hat.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury

Die SEC geht mit neuer Cybersicherheitsregel hart vor

Reaktion

Andere Vorschläge

Danny Bradbury

In Verbindung stehende Artikel

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Das Zeitalter der Compliance: Wie Regulierung, Technologie und Risiko die Geschäftsnormen neu schreiben

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Lesen Sie mehr von Danny Bradbury

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik