Neue SEC-Anforderungen zur Cybersecurity-Berichterstattung: Auswirkungen auf das Risikomanagement von Drittanbietern

Öffentliche Unternehmen müssen ihre Risikomanagementprogramme für Dritte formalisieren, um die neuen SEC-Berichtsanforderungen zu erfüllen. Hier ist der richtige Ansatzpunkt.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 30, 2022 6 min gelesen

Die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) hat vor kurzem neue Anforderungen für börsennotierte Unternehmen eingeführt, um die Regierung zu informieren, wenn sie gehackt werden. Diese Aktualisierungen der Berichterstattung sollen die Anleger besser über die Cybersicherheits-Governance und die Praktiken der Unternehmen in ihren Portfolios informieren.

Insbesondere für Risikomanagement-Programme von Drittanbietern verlangen die neuen Governance-Angaben eine Aktualisierung der Risikobewertungen, wobei der Schwerpunkt auf den Risiken liegt, die das Unternehmen durch die Inanspruchnahme von externen oder Drittanbieter-Diensten eingeht. Gemäß der vorgeschlagenen Verordnung werden die Unternehmen auch nach Sicherheitsaudits, Plänen zur Geschäftskontinuität und der Einbindung der Cybersicherheit in ihre allgemeine Geschäftsstrategie gefragt.

Für öffentliche Unternehmen, die kein formalisiertes Risikomanagementprogramm für Dritte haben, ist es jetzt an der Zeit, ihren Prozessen eine gewisse Struktur zu geben. Hier sind 6 Schritte, die Sie unternehmen sollten.

1. Beginnen Sie mit einer Reifegradbewertung

Ermitteln Sie zunächst, wie ausgereift Ihre bestehenden Prozesse für das Risikomanagement Dritter (TPRM) sind. Wir empfehlen die Verwendung des Capability Maturity Model, um eine Momentaufnahme der aktuellen Prozesse zu erhalten. Dieses Reifegradmodell bewertet fünf Aspekte Ihres TRPM-Programms:

  1. Der Geltungsbereich: Wie umfassend ist der Umfang des Programms? Haben Sie Einblick in alle Anbieter und Lieferanten im Drittanbieter-Ökosystem Ihres Unternehmens?
  2. Inhalt: Gibt es Verfahren, die sicherstellen, dass die Fragebögen zur Risikobewertung aktuell und für alle Arten von zu bewertenden Dritten geeignet sind?
  3. Rollen und Zuständigkeiten: Kennen die Mitarbeiter Ihres TPRM-Programms ihre Zuständigkeiten und den erwarteten Grad ihrer Beteiligung an den betrieblichen Abläufen?
  4. Behebung von Mängeln: Wird die Sanierung einheitlich durchgeführt, und wurden die Prozesse optimiert, um die Effizienz des Programms zu verbessern?
  5. Steuerung: Wie wird die Leistung des Programms gemessen? Können Sie den Erfolg des Programms nachweisen? Verfügen Sie über die geeigneten Messgrößen, um die strategische Ausrichtung zu bestimmen?

Bewerten Sie jeden der oben genannten Bereiche auf einer Skala von 1 (anfänglich) bis 5 (Optimierung), um festzustellen, welche Bereiche die meiste Aufmerksamkeit benötigen. Prevalent bietet einen kostenlosen Service zur Bewertung des TPRM-Reifegrads an, um Sie durch diesen Prozess zu führen.

2. Zentralisierung der Lieferantenverwaltung

Man kann nicht verwalten, was man nicht messen kann. Verzichten Sie daher auf Tabellenkalkulationen und inventarisieren Sie Ihre Lieferanten mit einer zentralen Plattform. Dadurch wird sichergestellt, dass mehrere interne Teams an der Lieferantenverwaltung teilnehmen können und dass die Prozesse zum Nutzen aller automatisiert werden können. Sie können entweder Ihre vorhandenen Tabellenkalkulationen in eine zentrale Plattform hochladen, eine API für Beschaffungssysteme oder andere Datensysteme verwenden oder interne Beteiligte ein Formular zur Aufnahme von Lieferanten ausfüllen lassen.

3. Profilierung und Einstufung aller Anbieter, um eine angemessene Sorgfaltspflicht vorzuschreiben

Sobald Ihre Lieferanten zentral verwaltet werden, führen Sie eine inhärente Risikobewertung durch, um umfassendere Lieferantenprofile zu erstellen und die angemessene Häufigkeit und den Umfang künftiger Bewertungen zu bestimmen. Berücksichtigen Sie bei der Erstellung von Profilen und der Einstufung Ihrer Drittanbieter Attribute wie:

  • Die Arten von Nachweisen, die die Anbieter erbringen müssen, um die erforderlichen Kontrollen zu belegen
  • Die Bedeutung des Dritten für Ihre Unternehmensleistung
  • Unternehmensstandorte und alle damit verbundenen rechtlichen oder regulatorischen Verpflichtungen (z. B. GDPR)
  • das Ausmaß, in dem die Dienstleistungen jedes Dritten von vierten Parteien abhängen

4. Regelmäßige Beurteilungsrhythmen einführen

Sobald Sie Ihre Anbieter aufgenommen und deren inhärentes Risiko bewertet haben, ist der nächste Schritt die Durchführung von Due-Diligence
Bewertungen. Diese Bewertungen können je nach den für Ihr Unternehmen wichtigen Kontrollstandards und Compliance-Anforderungen variieren.

Hier sind einige wichtige Punkte, die bei der Planung von Bewertungen zu beachten sind:

  • Verpflichten Ihre Lieferantenverträge Dritte dazu, rechtzeitig auf Risikobewertungen zu reagieren?
  • Wie häufig müssen Sie die einzelnen Anbieter bewerten? Die in Schritt 3 berechneten Tiering-Ergebnisse können Ihnen bei dieser Entscheidung helfen.
  • Welcher Fragebogen soll verwendet werden, um Informationen über die Kontrollen Ihres Anbieters zu sammeln? Werden Sie branchenübliche oder firmeneigene Umfragen verwenden? Branchenübliche Umfragen wie SIG, NIST
    oder ISO
    Bewertungen können den Vergleich von Anbietern vereinfachen. Proprietäre oder benutzerdefinierte Bewertungen können erforderlich sein, wenn Sie besondere Anforderungen haben.
  • Sind Sie in der Lage, alternative Inhalte und Nachweise zu prüfen, z. B. wenn ein Anbieter einen SOC-2-Bericht einreicht, anstatt Ihre Risikobewertung zu vervollständigen?

Die Beantwortung dieser Fragen wird Ihnen dabei helfen, die richtige Erhebungsmethode zu finden. Zum Beispiel, ob Sie die Sammlung selbst durchführen, auf bereits ausgefüllte Fragebögen zurückgreifen, die Sammlung an einen Partner auslagern oder eine Kombination aus beidem wählen. Diese Entscheidung wird wahrscheinlich von den Ressourcen und dem Fachwissen Ihrer Organisation abhängen.

Unabhängig von der Erfassungsmethode sollten Sie die integrierten Empfehlungen nutzen, um die Risiken auf ein für das Unternehmen erträgliches Maß zu reduzieren.

5. Ständige Überwachung Dritter

Regelmäßige Bewertungen auf der Grundlage von Fragebögen sind großartig, aber sie lassen immer noch Lücken in der Transparenz. Sie können diese Lücken schließen, indem Sie eine kontinuierliche Cyber-Überwachung Ihrer Anbieter und Lieferanten durchführen. Typische Quellen für Cyber-Intelligenz von Dritten sind kriminelle Foren, Onion-Seiten, spezielle Dark-Web-Foren, Bedrohungs-Feeds, Paste-Sites für durchgesickerte Anmeldeinformationen, Sicherheits-Communities, Code-Repositories und Datenbanken für Schwachstellen und Hackerangriffe.

Allerdings werden nicht alle Angriffe durch die oben genannten Quellen signalisiert. Veränderungen im Geschäftsverhalten oder in der finanziellen Leistung eines Unternehmens können auf eine Strategieänderung oder fehlende Mittel für die Cyberabwehr hindeuten. Erweitern Sie daher Ihre Überwachung auf öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen wie z. B.:

  • Unternehmen: Fusions- und Übernahmetätigkeiten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, operative Updates.
  • Finanzen: Umsatz, Gewinn und Verlust, Aktionärsvermögen.
  • Globale Sanktionslisten: OFAC, EU, UN, BOE, FBI, BIS, FDA, US HHS, UK FSA, SEC, usw.
  • Screening staatlicher Unternehmen
  • Listen politisch exponierter Personen (PEP)

Sie können diese Quellen separat überwachen oder eine Lösung zur Überwachung der Risiken von Anbietern verwenden, um diese Erkenntnisse in Ihrem Risikoprogramm für Dritte zu bündeln.

6. Auditberichte im Voraus vorbereiten

Da das Risikomanagement für Dritte in den neuen SEC-Anforderungen einen zentralen Kontrollschwerpunkt darstellen wird, ist es wichtig, die Fortschritte bei der Erfüllung dieser Anforderungen aufzuzeigen - sowohl für die Prüfer außerhalb als auch innerhalb Ihres Unternehmens. Compliance-Berichterstattung
kann komplex und zeitaufwändig sein, daher können integrierte Berichte für gängige Vorschriften und Branchenrahmen den Prozess beschleunigen und vereinfachen.

Wenn Sie sich einen Überblick über den Grad der Einhaltung der Vorschriften durch die einzelnen Anbieter verschaffen, wird Ihre Berichterstattung einfacher. Legen Sie zunächst einen prozentualen Schwellenwert für die Einhaltung einer Risikokategorie fest (z. B. X % Konformität mit einem bestimmten Rahmen oder einer Richtlinie). Alle Berichte beziehen sich dann auf diesen Prozentsatz, und Ihr Team kann sich auf die Teilbereiche konzentrieren, in denen die Konformitätsrate niedrig ist. Stellen Sie sicher, dass Sie die Einhaltung der Richtlinien auch auf einer Makroebene für alle Anbieter bewerten, nicht nur auf Anbieterebene. Berichte auf Makroebene sind für Ihren Vorstand wichtig, um festzustellen, wie konform Ihr Unternehmen mit der jeweils aktuellen Verordnung ist.

Nächste Schritte

Letztendlich werden die Daten zur Risikobewertung für alle Anbieter auf einer einzigen Plattform zentralisiert:

  • Sicherheits- und Risikomanagementteams in die Lage versetzen, Risiken konsequenter und disziplinierter zu verwalten und so die Governance zu verbessern
  • Erleichterung der Zustimmung des Unternehmens zu Risikomanagementinitiativen Dritter
  • Vereinfachung der Berichterstattung in Bezug auf die regelmäßigen SEC-Prüfungsanforderungen

Prevalent kann helfen. Laden Sie den Lebenszyklus von Lieferantenrisiken herunter : Keys to Success at Every Stage, um weitere konkrete Schritte und Anleitungen zu erhalten, oder fordern Sie eine Demo an
um Ihre Anforderungen noch heute zu besprechen.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.