Ein neuer Diskurs über das Cyber-Risikomanagement von US-Aktiengesellschaften hat begonnen.
Im März 2022 fügte die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) ihrer To-do-Liste einen weiteren Punkt hinzu , indem sie einen Konsultationsprozess darüber ankündigte, wie börsennotierte US-Unternehmen ihr Cyber-Risiko managen müssen. Dies spiegelt den Mainstream-Charakter vieler E-Commerce-Systeme und ihren Beitrag zum Geschäfts- und Unternehmenswert wider.
Für Investoren ist dieser Beitrag jedoch zweischneidig. Digitale Fähigkeiten steigern den Wert und setzen Unternehmen potenziell erheblichen neuen Risiken aus. Diese Risiken können beträchtlich sein, und die Unternehmen benötigen ein effektives Cyber-Risikomanagement, um Cyber-Bedrohungen zu bewerten, zu bewältigen und zu bekämpfen.
Das Konsultationsverfahren der SEC soll dazu beitragen, einen wirksamen, praktischen und für Anleger, Unternehmen und den Markt insgesamt nützlichen Rechtsrahmen für das Management von Cyberrisiken zu entwickeln.
Zwar befindet sich die Studie noch in der Beratungsphase, aber die Richtung ist klar. Zu gegebener Zeit werden die SEC-Vorschriften für das Cyber-Risikomanagement wahrscheinlich mit den Compliance-Anforderungen des Sarbanes-Oxley-Gesetzes (SOX) gleichziehen.
Erkundung der neuen Anforderungen der SEC
Erstens sieht der Vorschlag vor, dass die Berichte über das Cyber-Risikomanagement Teil des Standard-Berichtsprozesses nach SEC 8-K sind, in Übereinstimmung mit den derzeit börsennotierten Berichtspflichten des Unternehmens. Die Berichte würden die Grundsätze und Verfahren des Unternehmens für das Cyber-Risikomanagement, den Rahmen für das Cyber-Risikomanagement und die Unternehmensführung sowie das Fachwissen des Vorstands in diesem Bereich umfassen. Es ist unerlässlich, über Cyber-Vorfälle, Aktualisierungen früherer Vorfälle und deren geschäftliche Auswirkungen zu berichten.
Wie bei allen neuen Vorschriften ist der Text in vielerlei Hinsicht am leichtesten zu verdauen. Die Herausforderung besteht darin, die Details zu meistern und herauszufinden, wie Sie Ihre Risikomanagementsysteme und -prozesse am besten darauf abstimmen können. In einigen Fällen kann dies Unternehmen dazu zwingen, zu den ersten Grundsätzen zurückzukehren, ihre bestehenden Cybersicherheitssysteme und -verfahren zu verstehen und zu dokumentieren, um sicherzustellen, dass alles identifiziert und aufgezeichnet wird, und zwar von Anfang bis Ende. Dieser Ansatz ermöglicht es den Unternehmen auch, alle Lücken in ihrem Unternehmen zu identifizieren, die einer behördlichen Überprüfung ausgesetzt sein könnten, sowie die operativen, kommerziellen oder Reputationsrisiken, die diese Lücken verursachen.
Auch wenn sich aus dieser Analyse Lücken und Probleme ergeben, bedeutet dies nicht, dass börsennotierte Unternehmen keine Kenntnis von Cyberrisiken haben. Kein börsennotiertes Unternehmen - oder ein Unternehmen, das eine Börsennotierung plant - wird ohne eine Cybersicherheitspolitik, eine Reihe von relevanten Systemen und Prozessen und wahrscheinlich ohne die Ernennung eines Chief Information Security Officer (CISO) sein.
Die größte Herausforderung besteht darin, all diese Bemühungen und Aktivitäten so zu erfassen und zu konsolidieren, dass das Unternehmen widerstandsfähig ist, alle behördlichen Auflagen erfüllt und sich entsprechend entwickeln kann, ohne dass die Cybersicherheit das Unternehmen behindert, sondern es vielmehr zum Erfolg führt.
In der Vergangenheit haben Unternehmen auf Anwendungen für das Unternehmensrisikomanagement (ESG) gesetzt, um ihre Fähigkeiten im Bereich des Cyber-Risikomanagements zu verbessern. Dieser Ansatz kann sehr präskriptiv sein, und während er für einige Unternehmen ideal ist, stellt er für viele andere eine Herausforderung bei der Umsetzung dar.
Viele Unternehmen wissen, wie wichtig es ist, die richtige ERM-Lösung (Enterprise Risk Management) auszuwählen, da Technologie definitiv der beste Verbündete sein kann. Die Nutzung moderner SaaS-basierter Technologien für das Management von Cyberrisiken ist ein dynamischer Ansatz, der letztlich dem Unternehmen zugute kommt. Sie sind einfach zu implementieren und benutzerfreundlich und können Ihre bestehenden Fähigkeiten und Prozesse verbessern, um die betriebliche Widerstandsfähigkeit zu gewährleisten.
Viele Unternehmen wissen, wie wichtig es ist, die richtige ERM-Lösung (Enterprise Risk Management) auszuwählen, da Technologie definitiv der beste Verbündete sein kann. Die Nutzung moderner SaaS-basierter Technologien für das Management von Cyberrisiken ist ein dynamischer Ansatz, der letztlich dem Unternehmen zugute kommt. Sie sind einfach zu implementieren und benutzerfreundlich und können Ihre bestehenden Fähigkeiten und Prozesse verbessern, um die betriebliche Widerstandsfähigkeit zu gewährleisten.
Wie könnte eine SaaS-basierte Lösung für Ihr Unternehmen aussehen?
Die ideale Lösung zeichnet sich zunächst durch eine zentrale Architektur aus, die es Ihnen ermöglicht, Ihre unternehmensweiten Cybersicherheitsrichtlinien zu erfassen, zu konsolidieren und zu definieren. In vielen Umgebungen ist es möglich, dass es eine Mischung aus verschiedenen Ansätzen und Lücken gibt. Der Trick besteht darin, eine einheitliche Struktur zu haben, an der sich alle orientieren können.
Der nächste Schritt besteht darin, dafür zu sorgen, dass die Mitarbeiter ihre Pflichten verstehen und sie gründlich umsetzen. In der Vergangenheit war dies die Aufgabe des Sicherheitsteams. Die Verantwortung für die Umsetzung einer Sicherheitsrichtlinie verlagert sich jedoch vom Sicherheitsteam auf die Schultern des Teams für den täglichen Betrieb. SaaS-basierte Systeme ermöglichen es den Sicherheitsteams, ihre Richtlinienanforderungen in die Sicherheitsplattform einzubetten, so dass sich ihre Rolle mehr auf die Beratung und Anleitung als auf die Kontrolle konzentriert. Dieser Ansatz trägt dazu bei, dass die Sicherheitsstandards in einer komplexeren technologischen Umgebung eingehalten werden, während gleichzeitig die Beschränkungen eingehalten werden, denen Sicherheitsteams normalerweise unterliegen. Er trägt auch dazu bei, dass sich das Unternehmen mit Hilfe eines starken Unternehmens-Risikomanagementprogramms optimal entwickeln kann.
Diese zentralisierten Plattformen bieten auch die Möglichkeit für Schulungen, Weiterbildungen und Bescheinigungen, mit denen die Teams der Geschäftsbereiche bestätigen können, dass ihre Systeme und Prozesse den bestehenden Unternehmensstandards entsprechen und diese einhalten.
Darüber hinaus ermöglichen zusätzliche Funktionen die Erstellung von Berichten auf Unternehmensebene und die Analyse von Lücken, so dass ein Unternehmen Lücken in seinem Cyber-Risikomanagement aufdecken kann, wenn sich das Geschäft, die Sicherheitsrichtlinien und das gesetzliche Umfeld ändern.
Ein Blick auf die GRC-Plattform der Zukunft
Erfahren Sie, wie Sie eine einzige SaaS-Plattform für Ihre gesamten GRC-Anforderungen nutzen können.
