Die US-Börsenaufsicht SEC (Securities and Exchange Commission) hat neue Regeln für das Cybersicherheitsrisikomanagement für Unternehmen vorgeschlagen, die von ihnen eine transparentere Offenlegung von Kundendaten verlangen würden.
Die neuen Regeln würden als Änderungen verschiedener Formulare zur Offenlegung von Cybersicherheitsvorschriften umgesetzt und würden sich speziell an Anlageberater, Investmentfonds und Geschäftsentwicklungsunternehmen richten.
Keine versteckten Cybersicherheits-Hacks mehr
Die Einführung strengerer Vorschriften für Offenlegungen im Bereich der Cybersicherheit ist kein neuer Versuch der SEC. Im Jahr 2018 sagte der frühere SEC-Kommissar Robert J. Jackson Jr., dass die aktuellen Offenlegungspflichten „einen Fehler auf der Seite der Geheimhaltung darstellten“ und Investoren oft im Dunkeln ließen, wenn Unternehmen Hacks oder andere Cybersicherheitsangriffe erlebten.
Derzeit ist die Unternehmensleitung nur dazu verpflichtet, die Vorstände über Cybersicherheitsthemen auf dem Laufenden zu halten, ohne diese an Investoren oder andere Kunden weiterzugeben. Ein gemeinsamer Bericht aus dem Jahr 2021 zeigte jedoch, dass im Jahr 2020 nur 17 % der befragten Fortune-100-Unternehmen den Vorstandsmitgliedern jährlich oder vierteljährlich Cybersicherheitsprobleme meldeten.
Die SEC scheint daran interessiert zu sein, dies zu ändern, da sie den größten Teil des Jahres 2022 damit verbracht hat, verschiedene Vorschläge einzubringen, die – wenn sie angenommen werden – öffentliche Unternehmen dazu verpflichten würden, über Cyberangriffe und -vorfälle zu berichten.
Dies ist der Fall bei der Cybersicherheitsrisikomanagement für Anlageberater, registrierte Investmentgesellschaften und Geschäftsentwicklungsunternehmen Vorschlag, veröffentlicht am 9. Februar.
In dem Dokument schlägt die SEC die Einführung neuer Regeln im Rahmen des Investment Advisers Act von 1940 und des Investment Company Act von 1940 vor, um Fonds und Berater zur Umsetzung neuer Cybersicherheitsrichtlinien zu verpflichten. Dem Dokument zufolge sind diese Richtlinien und Verfahren speziell darauf ausgelegt, Cybersicherheitsrisiken zu begegnen, indem Unternehmen verpflichtet werden, erhebliche Cybersicherheitsvorfälle, die den Berater, seinen Fonds oder private Fondskunden betreffen, der SEC zu melden.
„Wir glauben, dass die Verpflichtung von Beratern und Fonds, das Auftreten schwerwiegender Cybersicherheitsvorfälle zu melden, die Effizienz und Wirksamkeit unserer Bemühungen zum Schutz von Anlegern, anderen Marktteilnehmern und den Finanzmärkten im Zusammenhang mit Cybersicherheitsvorfällen steigern würde“, heißt es in dem Vorschlag der SEC.
Jamil Farshchi, Chief Information Security Officer bei Equifax, sagte Laut Bloomberg News würden die vorgeschlagenen Regeln der Unternehmensführung dringend benötigte Transparenz bringen und eine beispiellose Rechenschaftspflicht in Bezug auf Cybersicherheit erfordern.
Mehr Regeln bedeuten eine stärkere SEC
Viele glauben, dass der jüngste Vorstoß der SEC, eine aktivere Rolle bei der Stärkung der Regeln zur Cybersicherheit zu spielen, eine direkte Folge des SolarWinds-Hacks ist. Der berüchtigte Vorfall gilt weithin als einer der schlimmsten Cyberspionagevorfälle in den USA, da das Land viele Teile seiner Bundesregierung ins Visier einer von Russland unterstützten Hackergruppe geraten sah.
Die Angreifer infizierten Updates eines US-amerikanischen Bundesauftragnehmers und nutzten diese als Sprungbrett, um in verschiedene Regierungsbehörden und Unternehmen einzudringen. Nach dem Hack schickte die SEC Briefe an Unternehmen, von denen sie glaubte, dass sie durch die Hacks gefährdet seien, und forderte sie auf, selbst zu melden, ob sie gehackt worden waren und welchen Schaden die Hacks angerichtet hatten.
Als die Kommission eine überwältigende Anzahl an Offenlegungen erhielt, startete sie das Amnestieprogramm und bot Unternehmen Verzeihung an, die schließlich der Aufforderung zur Selbstauskunft nachkamen, auch wenn sie den Vorfall zuvor nicht den Anlegern mitgeteilt hatten.
Damals bezeichneten die National Association of Corporate Directors, die Cyber Threat Alliance und SecurityScorecard das Programm alle als „bemerkenswert“, da es die sich wandelnde Sichtweise der SEC zum Cyberrisiko signalisierte. Sachin Bansal, Chief Business and Legal Officer von SecurityScorecard, nannte es einen „Wendepunkt“ für die SEC.
Dennoch lässt der neue Vorschlag der SEC viele Steine auf dem anderen.
Die neuen Regeln verpflichten Unternehmen bei Umsetzung dazu, „wesentliche“ oder „erhebliche“ Cybervorfälle offenzulegen. Die SEC betrachtet „wesentliche“ Informationen als alle Informationen, bei denen eine „erhebliche Wahrscheinlichkeit besteht, dass ein vernünftiger Aktionär sie für wichtig halten würde“.
Viele halten die Definitionen der SEC für zu vage, um sinnvolle Transparenz auf den Markt zu bringen. Die Unbestimmtheit bedeutet auch, dass die Regeln von Fall zu Fall einer Interpretation durch die SEC unterliegen würden, was den Unternehmen Spielraum lässt, gegen Urteile Berufung einzulegen und Präzedenzfälle zu schaffen, die den Vorschlag im Wesentlichen wertlos machen könnten.
Allerdings gibt es noch Raum für Verbesserungen. Die SEC wird erst in einigen Wochen über den Vorschlag abstimmen, was den Branchenteilnehmern viel Raum lässt, ihre Bedenken und Vorschläge mit der Kommission zu teilen.
Es ist unklar, wie sich dies auf die Kryptoindustrie auswirkt – da immer mehr Investmentfonds verschiedene digitale Vermögenswerte umfassen und Krypto-Derivate in ihren Portfolios. Die vorgeschlagenen Regeln könnten jedoch dazu führen, dass viele Offenlegungen aus dem Kryptobereich erfolgen.
Quelle: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/