Die SEC hat neue Cybersicherheitsmaßnahmen erlassen Offenlegungsregeln für börsennotierte Unternehmen, die am 15. Dezember 2023 in Kraft treten. Diese Regeln schreiben vor, dass Unternehmen in ihren Jahresberichten ausführlich darlegen, wie sie wesentliche Cybersicherheitsrisiken bewerten, identifizieren und managen (Formular 10-K). Sie verlangen von Organisationen, die Rolle des Vorstands bei der Überwachung von Cybersicherheitsrisiken darlegen. Schließlich Die SEC verlangt von Unternehmen, bedeutende Cybersicherheitsvorfälle innerhalb von vier Tagen zu melden (Formular 8-K).
Diese Verordnung hat erhebliche Auswirkungen auf Unternehmen und Chief Information Security Officers (CISOs). CISOs stehen im Rampenlicht und müssen eine klare und zeitnahe Kommunikation über die Cybersicherheitsmaßnahmen und -vorfälle ihres Unternehmens gewährleisten. Diese erhöhte Sichtbarkeit erfordert von CISOs die Pflege starker Kommunikationskanäle mit Führungskräften und Vorstandsmitgliedern. Darüber hinaus müssen CISOs ihre Cybersicherheitsstrategien sowohl an den Geschäftszielen als auch an den regulatorischen Anforderungen ausrichten.
Für CEOs und Vorstandsmitglieder gleichermaßen stärkt die Verordnung den Fokus auf die Cybersicherheitsresilienz innerhalb der Unternehmensführung. Sie sind mit der aktiven Mitwirkung und Überwachung von Cybersicherheitsstrategien beauftragt. Der Vorstand ist nun nicht nur dafür verantwortlich, die Einhaltung der Vorschriften, sondern auch die Wirksamkeit des Cybersicherheitsprogramms des Unternehmens sicherzustellen. Dieser Wandel unterstreicht die wachsende Rolle der Unternehmensführung im Management von Cyberrisiken. Er unterstreicht das wachsende Interesse der Investoren daran, wie Unternehmen auf Cyberbedrohungen vorbereitet sind und diese eindämmen.
Investoren sind zunehmend besorgt über die Auswirkungen der Cybersicherheit auf ihre Investitionen. Dies wurde durch die steigende Zahl spektakulärer Cybervorfälle wie Ransomware-Angriffe und Datenschutzverletzungen verstärkt. Investoren priorisieren Cybersicherheit neben kritischen Umwelt-, Sozial- und Governance-Themen (ESG). Dies spiegelt sich wider in RBCs Global Asset Management Responsible Investment SurveyInvestoren suchen nach klaren, zuverlässigen und umsetzbaren Daten zur Cybersicherheit, um ihre Anlageentscheidungen zu treffen. Sie benötigen und wünschen sich klare Indikatoren für die Widerstandsfähigkeit der Cybersicherheit, ohne über tiefgreifende technische Kenntnisse auf diesem Gebiet verfügen zu müssen. Gute Cybersicherheit gilt nicht nur als Risikominderungsfaktor, sondern auch als Indikator für eine solide Unternehmensführung und Managementqualität. Diese Eigenschaften machen Unternehmen für Investitionen attraktiver. Tools, die Cybersicherheitsmetriken berücksichtigen, werden verwendet, um die Cybersicherheitsvorsorge eines Unternehmens zu bewerten. Daher sind die besten Chief Information Security Officers (CISOs) über diese Bewertungen der Investoren informiert. Erfolgreiche CISOs stellen sicher, dass die Cybersicherheitsmaßnahmen ihrer Organisationen effektiv kommuniziert werden. Effektive CISOs heben globale Trends wie mehr Transparenz und Rechenschaftspflicht in der Cybersicherheitsberichterstattung hervor. Dies trägt dazu bei, die Bedenken von Investoren und der Investment-Community zu zerstreuen.
Die neue Cybersicherheitsverordnung der SEC erfordert die Einbindung der obersten Führungsebene. Die Unternehmensleitung muss in die Strategieentwicklung ihrer Cybersicherheits-Offenlegungen eingebunden werden. CISOs bringen Führungskräfte zusammen, um die Cyber-Resilienz bzw. Cyber-Vorsorge ihrer Unternehmen zu überprüfen. Diese Treffen schaffen ein wichtiges Verständnis dafür, wie sich diese Vorschriften auf Ihr Unternehmen und seine Stakeholder auswirken. An diesen Treffen nehmen in der Regel der CISO, der General Counsel, ein Chief Risk Officer (falls anwesend), der CFO und der Leiter der Investor Relations teil. Wichtige Diskussionspunkte drehen sich um die Leitung der Offenlegungsbemühungen und die Rolle des CISO bei der Risiko- und Vorfallberichterstattung. Die Diskussionen müssen Strategien für die Zusammenarbeit, die Kommunikation mit Investoren und die Definition eines „Materials„Cyber-Vorfall im Zusammenhang mit den Geschäftstätigkeiten des Unternehmens, der nun eine Meldung auf dem 8-K-System erfordert.
Diese Gespräche müssen eine klare Verantwortungsmatrix in Ihrem Unternehmen in Bezug auf die Offenlegung von Informationen zur Cybersicherheit schaffen. CISOs müssen außerdem sicherstellen, dass ihr Ansatz zur Cybersicherheit den Investoren effektiv kommuniziert wird und deren Erwartungen an Transparenz erfüllt werden. und Verständnis. Ihr Führungsteam muss auch die bestehenden Kommunikationsstrategien des Unternehmens in Bezug auf Cyberrisiken berücksichtigen. Es muss prüfen, ob neue Methoden, wie beispielsweise ein eigenständiger Cybersicherheitsbericht (jährliches Audit durch Dritte), erforderlich sind, um die Governance solcher Risiken klar zu vermitteln. Dabei geht es nicht nur um Compliance; es geht darum, eine fundierte, schlüssige Darstellung der Cybersicherheits-Governance nach außen und innen zu entwickeln. Der CISO spielt in diesem Prozess eine wichtige, aber nicht alleinige Rolle. Die Ergebnisse dieser Meetings werden die zukünftige Cybersicherheitslage und die Investor Relations des Unternehmens prägen.
Gemäß den neuen Anforderungen der SEC müssen Unternehmen eine Reihe von Informationen offenlegen, die Investoren helfen, ihre Prozesse im Risikomanagement der Cybersicherheit zu verstehen. Zu diesen Informationen gehören die Cybersicherheitsstrategie des Unternehmens und das Risikomanagement Dritter. Ein häufig verwendeter Rahmen für solche Risikobewertungen ist der NIST-Cybersicherheitsrahmen (NSF). Alternativ nutzen einige Unternehmen die NIST 800-171 Risikomanagementstandard für ihre Compliance-Strategie. Anschließend muss das Managementteam, einschließlich CIO, CISO, CEO, CFO und Vorstand, ein Berichtsprogramm erstellen, das die Zielerreichung und Risikominderung für das Unternehmen anhand der in diesen Bewertungsmethoden beschriebenen Kontrollen darlegt.
Darüber hinaus wird von den Unternehmen erwartet, dass sie Details zu wichtigen Richtlinien, technischen Kontrollen, unabhängigen Sicherheitsbewertungen wie SOC 2-Zertifizierungen. Programmkennzahlen werden detailliert über die Programmwirksamkeit und die Protokolle zum Vorfallmanagement berichtet. Der Cyber-Versicherungsschutz wird validiert, um das finanzielle Risiko von Cyber-Vorfällen zu reduzieren und gleichzeitig die Wesentlichkeit von Cybersicherheitsereignissen und -problemen zu bestimmen.
CISOs sind dafür zuständig, diese Daten durch Dokumentenprüfungen und Konsultationen mit ihren Cybersicherheitsteams und Führungskräften zu sammeln. Da viele Organisationen möglicherweise keinen direkten Zugriff auf all diese Informationen haben, kann es sinnvoll sein, ein funktionsübergreifendes Team zu bilden, das den Informationserfassungsprozess unterstützt. Sie könnten CyberHoot einsetzen und Kennzahlen für jeden Mitarbeiter erfassen, der seine Governance-Richtlinien unterzeichnet, Sensibilisierungsvideos absolviert und Phishing-Simulationen und -Tests durchführt. Ziel ist die Berichterstattung an den Vorstand, die Führungskräfte und …vernünftige Investoren„Eine Erzählung, die für alle zugänglich und verständlich ist.
Unternehmen, die ihre Programme entwickeln, fragen sich vielleicht, was andere tun. Es ist jedoch wichtig, ein eigenes Compliance- und Berichtsprogramm basierend auf der eigenen Größe, den eigenen Kapazitäten und den Erwartungen der Investoren zu entwickeln. Es gibt Quellen zentralisierter Informationen, die Sie für die Entwicklung Ihres eigenen Programms nutzen können. Beispielsweise ergab eine Analyse des EY Center für Vorstandsangelegenheiten Die Offenlegungen von Fortune 100-Unternehmen ergaben folgende erhöhte Transparenz im Risikomanagement der Cybersicherheit.
Trotz früherer Offenlegungen erfordern die neuen Cybersicherheitsvorschriften der SEC die Einführung detaillierter und potenziell bahnbrechender Berichtspraktiken, beginnend bei börsennotierten Unternehmen. Obwohl sich die Vorschriften in erster Linie an börsennotierte Unternehmen richten, sollten sich auch andere private und kleinere Unternehmen mit diesen neuen Vorschriften vertraut machen und mit der Vorbereitung und Überwachung ihrer Geschäftstätigkeit beginnen, um ihre eigene Cybersicherheitsresistenz und -vorsorge zu gewährleisten.
Unternehmen müssen sich mit der Herausforderung auseinandersetzen, zu bestimmen, was eine „Materials” Cybersicherheitsvorfall zu Offenlegungszwecken, wie von der SEC gefordert. Ein wesentlicher Vorfall wird von der SEC definiert als „eine, die ein vernünftiger Investor bei seiner Investitionsentscheidung als wichtig erachten würde"Diese Bestimmung geht über finanzielle Schwellenwerte hinaus und berücksichtigt sowohl quantitative als auch qualitative Daten. Sie umfasst Vorfälle, die zu Reputationsschäden oder Informationsdiebstahl führen, die zwar finanziell nicht quantifizierbar sind, aber erhebliche Auswirkungen auf Einzelpersonen oder das Unternehmen haben.
Die SEC empfiehlt, neben den finanziellen Auswirkungen, auch Umfang und Art des Schadens zu bewerten. Um die potenziellen Auswirkungen umfassend zu verstehen, sollten Unternehmen eine finanzielle Quantifizierung der Cyberrisiken vornehmen. Diese Analyse kann Programmschwächen, Investitionsbedarf und Strategien zur Risikominderung aufdecken.
CISOs sind zwar in der Regel nicht die endgültigen Verantwortlichen für die Wesentlichkeit, sollten aber intensiv in den Bewertungsprozess und die Entwicklung proaktiver Strategien zur Risikobehebung eingebunden werden. Die Wesentlichkeit von Vorfällen sollte von Fall zu Fall durch Rechtsberater, CEO und Vorstand beurteilt werden. Bei der Wesentlichkeitsentscheidung müssen die spezifischen Umstände und die möglichen Auswirkungen auf das Unternehmen und seine Stakeholder berücksichtigt werden.
Die SEC schreibt spezifische Offenlegungspflichten für Cyberrisiken durch Dritte vor und erkennt deren erhebliches Potenzial für Cybersicherheitsvorfälle an. Da immer mehr Unternehmen aus Effizienz- und Wettbewerbsgründen an externe Dienstleister auslagern, haben die Risiken durch Schwachstellen bei Drittanbietern und in der Lieferkette zugenommen. CISOs wird empfohlen, eine robuste Strategie für Cyberrisiken durch Dritte zu entwickeln. Diese umfasst die Identifizierung und Priorisierung von Drittanbietern (häufig basierend auf der Kritikalität der von ihnen gespeicherten oder zugänglichen Daten), die Durchführung risikobasierter Cyberbewertungen und die kontinuierliche Überwachung dieser Partner auf neue Bedrohungen. Ein umfassendes Programm ist für CISOs unerlässlich, um den Stakeholdern ein effektives Risikomanagement und die Einhaltung der Offenlegungspflichten der SEC zu gewährleisten.
Diese Entwicklungen unterstreichen die strategische Bedeutung der Cybersicherheit in der Unternehmensführung und die Notwendigkeit einer gut informierten und proaktiven Überwachung der Cybersicherheit durch die Unternehmensführung. Sie deuten zudem auf einen Trend zu mehr Transparenz im Umgang und in der Berichterstattung von Unternehmen zur Cybersicherheit hin. Der Schwerpunkt liegt dabei auf der Schaffung einer robusten Sicherheitskultur, die den Interessen der Investoren und den regulatorischen Erwartungen entspricht.
Quellen:
https://www.sec.gov/news/press-release/2023-139
Entdecken und teilen Sie die neuesten Trends, Tipps und Best Practices zur Cybersicherheit – sowie neue Bedrohungen, vor denen Sie sich in Acht nehmen sollten.
Ein praktischer Leitfaden für vCISOs: DIE WARNUNG, DIE WIR IGNORIERTEN ODER NICHT VERSTEHEN KONNTEN Jahrelang galt die glaubwürdigste...
Weiterlesen
Ein Leitfaden, um Betrugsversuche durch falsche Führungskräfte zu erkennen, bevor der vermeintliche CEO eine echte Geldüberweisung erhält. Er…
Weiterlesen
Künstliche Intelligenz (oder KI) macht Phishing-E-Mails intelligenter, Schadsoftware heimtückischer und den Diebstahl von Zugangsdaten einfacher...
WeiterlesenBehalten Sie die menschlichen Risiken im Blick – mit dem positiven Ansatz, der herkömmlichen Phishing-Tests überlegen ist.
