Offenlegungen zur Cybersicherheit würden im Rahmen neuer SEC-Vorschläge verstärkt

Die Offenlegung von Cybersicherheitsmaßnahmen und Hacks öffentlicher Unternehmen würde verstärkt, wenn heute von der Securities and Exchange Commission vorgeschlagene neue Regeln genehmigt würden.

SEC-Vorsitzender Gary Gensler sagte, dass die Vorschläge, wenn sie angenommen würden, die Fähigkeit von Anlegern stärken würden, Cybersicherheitsvorfälle zu bewerten und Vorsichtsmaßnahmen durch die Unternehmen zu melden, die sie besitzen, indem sie konsistente, vergleichbare, zuverlässige und entscheidungsrelevante Informationen zur Verfügung stellen.

Er sagte, dass Cyber-Bedrohungen erhebliche finanzielle, rechtliche, betriebliche und Reputationsrisiken für Unternehmen darstellen.

Jessica Wachter, Chefökonomin der SEC und Direktorin der Abteilung für Wirtschafts- und Risikoanalyse, sagte, die Vorschläge würden die Suchkosten für Investoren senken und es einfacher machen, Cybersicherheitsvergleiche zwischen Unternehmen zu vergleichen.

Den Vorschlägen zufolge wäre ein Unternehmen verpflichtet, einen wesentlichen Cybersicherheitsvorfall innerhalb von vier Tagen, nachdem das Unternehmen festgestellt hat, dass er eingetreten ist, offenzulegen. Das Unternehmen wäre außerdem verpflichtet, regelmäßig zusätzliche Informationen über den Vorfall offenzulegen.

Darüber hinaus müsste ein Unternehmen die Rolle des Managements und des Vorstands sowie die Aufsicht über Cybersicherheitsrisiken offenlegen; ob es Richtlinien und Verfahren zur Cybersicherheit gibt; und wie sich Cybersicherheitsrisiken und -vorfälle wahrscheinlich auf die Finanzen des Unternehmens auswirken werden; und ob Vorstandsmitglieder über Fachwissen im Bereich Cybersicherheit verfügen.

Die demokratische Kommissarin Caroline Crenshaw sagte, die neuen Regeln seien von entscheidender Bedeutung, da CEOs Cybervorfälle als größte Bedrohung für das Unternehmenswachstum in den kommenden Jahren identifiziert hätten.

Sie behauptete, das „Wer, was, wann und wo“ von Offenlegungen sei derzeit unzuverlässig.

Das einzige republikanische Mitglied der Kommission, Hester Peirce, lehnte den Vorschlag ab und warf ihm vor, die SEC als Kommandozentrale für Cybersicherheit zu bezeichnen.

„Wir sind nicht die Regulierungsbehörden mit dem nötigen Fachwissen“, sagte Peirce.

Sie wandte außerdem ein, dass die Vorschläge zu einem beispiellosen Mikromanagement der Vorstände durch die SEC führen würden, da Unternehmen dazu verpflichtet würden, das Cybersicherheitswissen der Vorstandsmitglieder offenzulegen.