Im Jahr 2023verabschiedetedie US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission)neue Vorschriften und Änderungen, umdie Offenlegung von Informationen über Cybersicherheitsrisikomanagement, -strategien, -governance und -vorfälle durch börsennotierte Unternehmen zu verbessern und zu standardisieren. In der Veröffentlichung der SEC wird darauf hingewiesen, dass Cybersicherheitsrisiken in letzter Zeit aus verschiedenen Gründen zugenommen haben, darunter die zunehmende Abhängigkeit von Unternehmen von externen Dienstleistern für IT-Services und eine steigende Zahl von Vorfällen, die auf Dienstleister zurückzuführen sind.
Diese neuen Vorschriften traten im Dezember 2023 in Kraft, und wir sehen nun erste Auswirkungen, wenn sie nicht befolgt werden. Die SEC hat Durchsetzungsmaßnahmen gegen vier Softwareunternehmen angekündigt, weil diese irreführende Angaben zu Cybersicherheitsrisiken und Vorfällen im Zusammenhang mit dem SolarWinds-Hack im Jahr 2020 gemacht haben. Da diese Unternehmen die Auswirkungen des Hacks auf ihre Systeme heruntergespielt hatten, befanden die Aufsichtsbehörden, dass sie gegen die Bundeswertpapiergesetze verstoßen hatten. Ein Unternehmen wurde außerdem wegen unzureichender Offenlegungskontrollen angeklagt.
Auswirkungen der SEC-Vorschriften zur Offenlegung von Cybersicherheit auf das Risikomanagement von Drittanbietern
Diese jüngsten Vorwürfe unterstreichen erneut, wie wichtig ein robustes Cybersicherheits-Risikomanagement im Rahmen von Programmen zum Risikomanagement bei Dritten (Third-Party Risk Management, TPRM) ist. Zu den wichtigsten Auswirkungen zählen:
- Verbesserung der Offenlegung von Cybersicherheitsinformationen: Unternehmen müssen transparente und genaue Angaben zu ihrer Cybersicherheitslage machen, insbesondere in Bezug auf Risiken im Zusammenhang mit Drittanbietern. Irreführende Informationen können zu erheblichen behördlichen Strafen führen.
- Stärkung der Sorgfaltspflichtprozesse: Unternehmen sollten ihre Sorgfaltspflicht bei der Einbindung von Drittanbietern verbessern. Dazu gehört die Bewertung der Cybersicherheitspraktiken der Anbieter und die Sicherstellung, dass diese über robuste Maßnahmen zur Risikominderung verfügen. Regelmäßige Bewertungen und Audits der Compliance der Anbieter sind unerlässlich.
- Stärkere Kontrollen und Verfahren einführen: Unternehmen müssen wirksame interne Kontrollen für die Meldung von Cybersicherheitsvorfällen einrichten und aufrechterhalten. Stellen Sie sicher, dass Sie alle Verstöße, an denen Drittanbieter beteiligt sind, umgehend und genau melden, und legen Sie klare Kommunikationsprotokolle fest.
- Durchführung umfassender Risikobewertungen von Lieferanten: Unternehmen sollten die mit jedem Lieferanten verbundenen Risiken auf der Grundlage ihrer Cybersicherheitsfähigkeiten bewerten. Durch die Kategorisierung von Lieferanten nach Risikostufen können Unternehmen ihre Risikomanagementstrategien individuell anpassen und strengere Cybersicherheitsanforderungen an Lieferanten mit höherem Risiko stellen.
- Kontinuierliche Schulungen und Sensibilisierung: Unternehmen müssen ihren Mitarbeitern regelmäßig Schulungen und Sensibilisierungsprogramme zur Bedeutung einer korrekten Offenlegung von Cybersicherheitsrisiken und zu den Folgen irreführender Informationen anbieten. Die Mitarbeiter sollten die rechtlichen Verpflichtungen im Zusammenhang mit Cybersicherheitsrisiken und die Bedeutung von Transparenz verstehen.
- Entwickeln Sie robuste Pläne für die Reaktion auf Vorfälle: Unternehmen sollten wirksame Pläne für die Reaktion auf Vorfälle erstellen, die auch Drittanbieter einbeziehen. Stellen Sie sicher, dass diese Pläne potenzielle Verstöße über Kanäle von Drittanbietern berücksichtigen und Kommunikationsstrategien sowie Eskalationsprotokolle enthalten.
- Einhaltung gesetzlicher Vorschriften: Unternehmen müssen hinsichtlich sich ändernder regulatorischer Anforderungen im Bereich Cybersicherheit wachsam bleiben. Die Maßnahmen der SEC deuten auf einen Trend zu verstärkter behördlicher Kontrolle hin, wodurch die Einhaltung geltender Gesetze und Richtlinien von entscheidender Bedeutung ist.
Unternehmen sollten ihre Risikomanagementprogramme für Dritte neu bewerten und stärken, um sicherzustellen, dass sie Cybersicherheitsrisiken effektiv verwalten und offenlegen können. Auf diese Weise können sie ihren Ruf besser schützen, das Vertrauen der Investoren aufrechterhalten und potenzielle rechtliche und finanzielle Auswirkungen mindern.
Bewährte Verfahren für das Risikomanagement, die Governance, die Strategie und die Offenlegung von Vorfällen im Bereich Cybersicherheit durch Dritte
Ein gut verwaltetes Risikomanagementprogramm für Dritte umfasst Prozesse und Technologien, die die Identifizierung, Einstufung und Behebung von Risiken während des gesamten Lebenszyklus von Dritten unterstützen. Hier sind einige bewährte Verfahren, die Sie bei der Bewertung Ihres Governance-Programms für Dritte berücksichtigen sollten:
- Erstellen Sie Profile und stufen Sie alle Dritten ein, um inhärente Risikobewertungen zu erhalten, die die Wahrscheinlichkeit und die Auswirkungen eines Cybersicherheitsvorfalls anzeigen und es Ihnen ermöglichen, laufende Due-Diligence-Aktivitäten in angemessenem Umfang durchzuführen.
- Automatisieren Sie die Risikobewertung, Risikobewertung und Abhilfemaßnahmen von Drittanbietern, um die Risikominderung zu beschleunigen.
- Dritte kontinuierlich auf Cybersicherheitsrisiken überwachen und Risiken mit Bewertungsergebnissen abgleichen, um die Ergebnisse zu validieren.
- Automatisieren Sie Prozesse zur Reaktion auf Vorfälle, um die Meldung und die Zeit bis zur Lösung zu beschleunigen.
- Vereinfachen Sie die Berichterstattung an den Vorstand und die Geschäftsleitung, um eine klare und effiziente Entscheidungsfindung zu ermöglichen.
- Vergleichen Sie Ihr Programm kontinuierlich mit anerkannten Best Practices, indem Sie Compliance-Berichte für verschiedene Rahmenwerke und Vorschriften erstellen.
Nächste Schritte: Laden Sie die Checkliste zu den SEC-Vorschriften zur Offenlegung von Cybersicherheit herunter.
Weitere Informationen darüber, wie Prevalent Ihrem Unternehmen dabei helfen kann, die SEC-Berichtspflichten zu erfüllen, finden Sie in unserer Checkliste zu den SEC-Vorschriften zur Offenlegung von Cybersicherheit. Oder kontaktieren Sie uns noch heute, um einen Termin für eine Demo zu vereinbaren.
Befolgen Sie die aktualisierten SEC-Vorschriften zur Offenlegung von Cybersicherheit mit dieser Bewertung durch Dritte.
Um börsennotierten Unternehmen bei der Erfüllung dieser aktualisierten Anforderungen zu helfen, hat Prevalent eine 9-Punkte-Bewertung für die Sicherheits- und Risikomanagement-Community erstellt. Nutzen Sie die Bewertung, um:
- Umfang des Cybersicherheits-Incident-Managements durch Dritte bestimmen
- Identifizieren Sie, wie Dritte über die betrieblichen Auswirkungen von Cybervorfällen berichten.
- Untersuchen Sie Programme von Drittanbietern zur Bewertung und Identifizierung von Cybersicherheitsrisiken.
- Klärung der im Rahmen der Reaktion auf Cybersicherheitsvorfälle ergriffenen Abhilfemaßnahmen
- Offenlegung des Umfangs der Managementaufsicht bei Cybersicherheitsvorfällen durch Dritte
| Fragen | Antwortmöglichkeiten |
|---|---|
| 1) Hat die Organisation einen formellen Prozess für das Management von Cybersicherheitsvorfällen eingerichtet? |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, es wurde ein formeller Prozess für das Management von Cybersicherheitsvorfällen entwickelt. b) Nein, es wurde kein formeller Prozess für das Management von Cybersicherheitsvorfällen entwickelt. |
| 2) Würde die Organisation die folgenden Informationen über einen schwerwiegenden Cybersicherheitsvorfall offenlegen? |
Bitte wählen Sie alle zutreffenden Angaben aus.
a) Wann wurde der Vorfall entdeckt und handelt es sich um einen andauernden Vorfall? b) Eine kurze Beschreibung der Art und des Umfangs des Vorfalls. c) Ob Daten gestohlen, verändert, abgerufen oder für andere unbefugte Zwecke verwendet wurden. d) Die Auswirkungen des Vorfalls auf die Geschäftstätigkeit des Registranten. e) Ob der Registrant den Vorfall behoben hat oder derzeit behebt. |
| 3) Werden nach der Identifizierung eines Cybersicherheitsvorfalls die wesentlichen Auswirkungen und potenziellen Auswirkungen auf den Geschäftsbetrieb und die Finanzlage erfasst und offengelegt? |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, sowohl materielle als auch potenzielle Auswirkungen auf die betrieblichen und finanziellen Verhältnisse werden erfasst. b) Nein, Auswirkungen auf die betrieblichen und finanziellen Bedingungen werden weder erfasst noch offengelegt. |
|
4) Umfassen die Offenlegungen von Cybersicherheitsvorfällen auch die ergriffenen Abhilfemaßnahmen und Angaben dazu, wo aufgrund dieser Vorfälle Änderungen an Richtlinien oder Verfahren vorgenommen wurden?
Hilfetext: Alle Änderungen an den Richtlinien und Verfahren des Registranten, die sich aus einem Cybersicherheitsvorfall ergeben, sollten protokolliert werden. |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, es werden Abhilfemaßnahmen ergriffen und Änderungen an Richtlinien oder Verfahren offengelegt. b) Nein, es werden keine Abhilfemaßnahmen ergriffen und Änderungen an Richtlinien oder Verfahren werden nicht offengelegt. |
| 5) Verfügt die Organisation über ein Programm zur Bewertung von Cybersicherheitsrisiken? |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, ein Programm zur Bewertung von Cybersicherheitsrisiken wurde entwickelt. b) Nein, ein Programm zur Bewertung von Cybersicherheitsrisiken wurde nicht entwickelt. |
| 6) Hat die Organisation Richtlinien und Verfahren zur Überwachung und Identifizierung der Cybersicherheitsrisiken im Zusammenhang mit der Inanspruchnahme von Drittanbietern festgelegt? |
Bitte wählen Sie alle zutreffenden Angaben aus.
a) Es wird eine Reihe von Richtlinien und Verfahren für das Management von Risiken im Zusammenhang mit Drittanbietern festgelegt. b) Die Ergebnisse der Risikobewertungen unterstützen die Entscheidung für die Auswahl und Überwachung von Drittanbietern. c) Risiken im Zusammenhang mit der Inanspruchnahme von Drittanbietern werden berücksichtigt, und Sicherheits- und Datenschutzkontrollen werden in Verträgen mit Dritten festgelegt. |
| 7) Fließen die Ergebnisse von Cybersicherheits-Risikobewertungen in Entscheidungen über Governance-Richtlinien und -Verfahren, Technologien und Geschäftsstrategien ein? |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, die Ergebnisse der Cybersicherheits-Risikobewertungen werden bei der Überprüfung von Governance-Richtlinien und -Verfahren, Technologien und Geschäftsstrategien berücksichtigt. b) Nein, die Ergebnisse von Cybersicherheits-Risikobewertungen werden bei der Überprüfung von Governance-Richtlinien und -Verfahren, Technologien und Geschäftsstrategien nicht berücksichtigt. |
| 8) Ist die Geschäftsführung, der Vorstand oder ein dafür bestimmter Ausschuss der Organisation für die Überwachung von Cybersicherheitsrisiken verantwortlich? |
Bitte wählen Sie eine der folgenden Möglichkeiten:
a) Ja, die Geschäftsleitung, der Vorstand oder ein dafür zuständiger Ausschuss ist für Cybersicherheitsrisiken verantwortlich. b) Es gibt keine bestimmte Gruppe oder keinen bestimmten Ausschuss, die bzw. der die Gesamtverantwortung für Cybersicherheitsrisiken trägt. |
| 9) Bitte geben Sie an, wie der Vorstand und die Geschäftsführung Informationen zu Cybersicherheitsrisiken erhalten. |
Bitte wählen Sie alle zutreffenden Angaben aus.
a) Der Vorstand und die Geschäftsleitung werden regelmäßig über Cybersicherheitsrisiken informiert. b) Cybersicherheitsrisiken werden als Teil der Geschäftsstrategie, des Risikomanagements und der Finanzaufsichtsplanung betrachtet. |
Bewährte Verfahren für das Risikomanagement, die Governance, die Strategie und die Offenlegung von Vorfällen im Bereich Cybersicherheit durch Dritte
Ein gut verwaltetesRisikomanagementprogramm für Dritteumfasst Prozesse und Technologien, die die Identifizierung, Einstufung und Behebung von Risiken während des gesamten Lebenszyklus von Dritten unterstützen. Hier sind einige bewährte Verfahren, die Sie bei der Bewertung IhresGovernance-Programms für Dritteberücksichtigen sollten:
- Erstellen Sie Profile und stufen Sie alle Dritten ein, uminhärente Risikobewertungenzu erhalten, die die Wahrscheinlichkeit und die Auswirkungen eines Cybersicherheitsvorfalls anzeigen und es Ihnen ermöglichen, laufende Due-Diligence-Aktivitäten richtig zu dimensionieren.
- Automatisieren Siedie Risikobewertung, Risikobewertung und Abhilfemaßnahmenvon Drittanbietern, um die Risikominderung zu beschleunigen.
- Dritte kontinuierlichauf Cybersicherheitsrisiken überwachenund Risiken mit Bewertungsergebnissen abgleichen, um die Ergebnisse zu validieren.
- Automatisieren SieProzesse zur Reaktion auf Vorfälle, um die Meldung und die Zeit bis zur Lösung zu beschleunigen.
- Vereinfachen Sie die Berichterstattung an den Vorstand und die Geschäftsleitung, um eine klare und effiziente Entscheidungsfindung zu ermöglichen.
- Vergleichen Sie Ihr Programm kontinuierlich mit anerkannten Best Practices, indem SieCompliance-Berichte für verschiedene Rahmenwerke und Vorschriften erstellen.
Nächste Schritte: Laden Sie die Checkliste zu den SEC-Vorschriften zur Offenlegung von Cybersicherheit herunter.
Weitere Informationen darüber, wie Prevalent Ihrem Unternehmen dabei helfen kann, die SEC-Berichtspflichten zu erfüllen, finden Sie in unsererCheckliste zu den SEC-Vorschriften zur Offenlegung von Cybersicherheit. Oder kontaktieren Sie uns noch heute, umeinen Termin für eine Demo zu vereinbaren.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
