SEC-Anforderungen an die Offenlegung der Cybersicherheit

Kontakt zu einem Experten

Zurück zu allen Use Cases

Vereinfachung von Risikobewertungen durch Dritte im Hinblick auf die SEC-Meldepflichten

Im Juli 2023 hat die US-Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) neue Regeln und Änderungen verabschiedet, um die Offenlegung in Bezug auf Cybersecurity-Risikomanagement, -Strategie, -Governance und -Vorfälle durch öffentliche Unternehmen zu verbessern und zu standardisieren.

In der SEC-Veröffentlichung wird darauf hingewiesen, dass die Cybersicherheitsrisiken in letzter Zeit aus verschiedenen Gründen zugenommen haben, darunter die zunehmende Abhängigkeit der Unternehmen von Drittanbietern von IT-Dienstleistungen und die wachsende Zahl von Cybersicherheitsvorfällen, in die Drittanbieter verwickelt waren.

Die neuen Änderungen und Meldepflichten treten offiziell am 18. Dezember 2023 in Kraft.

Relevante Anforderungen

  • Offenlegung von Informationen über einen wesentlichen Cybersicherheitsvorfall innerhalb von vier Werktagen, nachdem das Unternehmen festgestellt hat, dass der Vorfall wesentlich ist.

  • Aktualisierte Angaben zu bereits veröffentlichten Cybersicherheitsvorfällen machen, wenn sie insgesamt wesentlich werden

  • Erklären Sie die Rolle des Managements in der Cybersicherheits-Governance

Erfüllung der SEC-Anforderungen für die Offenlegung der Cybersicherheit

Die SEC-Vorschriften und -Änderungen wurden als Reaktion auf die mangelnde Konsistenz bei der Berichterstattung über Cybersicherheitsvorfälle in öffentlichen Unternehmen eingeführt, die das Vertrauen der Anleger untergraben kann. Die folgende Tabelle fasst die wichtigsten Anforderungen an das Risikomanagement Dritter und die Offenlegung von Vorfällen zusammen, um dieses Vertrauen wiederherzustellen.

HINWEIS: Diese Informationen dienen lediglich als zusammenfassende Orientierungshilfe. Die Organisationen sollten die vollständigen SEC-Anforderungen in Absprache mit ihren Wirtschaftsprüfern vollständig prüfen.

Änderungsanträge Wie wir helfen
Berichterstattung über Cybersecurity-Vorfälle auf Formular 8-K
Punkt 1.05
"Beschreiben Sie die wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie die wesentlichen oder voraussichtlich wesentlichen Auswirkungen auf das Unternehmen, einschließlich seiner Finanz- und Ertragslage."

Prevalent versetzt Ihr Team in die Lage, Sicherheitsvorfälle von Drittanbietern schnell zu identifizieren, darauf zu reagieren, darüber Bericht zu erstatten und die Auswirkungen zu mindern - als Teil Ihrer umfassenderen Incident-Management-Strategie.

Zusätzlich zu unseren SaaS-Plattformlösungen bietet Prevalent einen verwalteten Service an, bei dem unsere Experten Ihre Anbieter zentral verwalten, proaktive Risikobewertungen durchführen, identifizierte Risiken bewerten, mit der kontinuierlichen Cyber-Überwachung korrelieren und Anleitungen zur Behebung von Problemen herausgeben - alles in Ihrem Namen.

Zu den wichtigsten Fähigkeiten gehören:

  • Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Lieferantenberichterstattung
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Integrierte Berichtsvorlagen für interne und externe Beteiligte
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken.

Prevalent bietet auch Zugang zu einer Datenbank, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und behördlichen Auflagen sowie Echtzeit-Benachrichtigungen über Datenverletzungen durch Anbieter.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Dritten beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe der Experten von Prevalent.
Offenlegung von Cybersicherheitsvorfällen in periodischen Berichten: Aktualisierungen der zuvor auf Formular 8-K eingereichten Offenlegung
"Offenlegung von Informationen, die ursprünglich auf dem Formblatt 8-K gemeldet worden wären, wenn sie zum Zeitpunkt der ersten Offenlegung bekannt oder verfügbar gewesen wären.

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.

Zu den Überwachungsquellen gehören:

  • Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
  • Eine Datenbank mit mehr als 10 Jahren Datenverletzungshistorie für Tausende von Unternehmen auf der ganzen Welt
    Prevalent bezieht auch Geschäfts-, Reputations- und Finanzdaten mit ein, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen.

Offenlegung des Cybersecurity-Risikomanagements und der Cybersecurity-Strategie des Registranten

Punkt 106(b) der Verordnung S-K
"ob und wie die in Punkt 106(b) beschriebenen Cybersicherheitsprozesse in das allgemeine Risikomanagementsystem oder die allgemeinen Risikomanagementprozesse des Registranten integriert wurden"

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das mit Ihren umfassenderen Programmen für Informationssicherheit, Governance, Risiken und Compliance übereinstimmt und auf bewährten Best Practices und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm zu optimieren, um den gesamten Lebenszyklus des Risikos von Drittanbietern - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Beendigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens abzudecken.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Vorräte von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Kartierung von Drittanbietern
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung
"ob der Registrant Beurteiler, Berater, Prüfer oder andere Dritte in Verbindung mit solchen Prozessen einsetzt"

Prevalent bietet eine Bibliothek mit über 750 vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern. Die Bewertungen können zum Zeitpunkt des Onboardings, der Vertragserneuerung oder in jeder gewünschten Häufigkeit (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen.

Die Bewertungen werden zentral in der Prevalent-Plattform verwaltet und durch Workflow-, Aufgabenmanagement- und automatische Beweisüberprüfungsfunktionen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat.

Wichtig ist, dass Prevalent auf der Grundlage der Ergebnisse von Risikobewertungen integrierte Empfehlungen für Abhilfemaßnahmen liefert, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern entsprechende Nachweise vorlegen können.

Die Lösung automatisiert die Prüfung der Einhaltung von Richtlinien durch Dritte, indem sie Risikoinformationen von Anbietern sammelt, Risiken quantifiziert, Abhilfemaßnahmen empfiehlt und Berichte für Dutzende von gesetzlichen Vorschriften und Branchenrichtlinien erstellt.

Prevalent ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS und anderen Regelwerken zu, so dass Sie wichtige Compliance-Anforderungen schnell visualisieren und adressieren und Ihr Programm entsprechend anpassen können - einschließlich der Entscheidung, ob Sie Restrisiken akzeptieren oder nicht.

Für Unternehmen mit begrenzten Ressourcen und Fachkenntnissen kann Prevalent den Lebenszyklus des Risikos von Drittanbietern in Ihrem Namen verwalten - von der Aufnahme von Anbietern und dem Sammeln von Nachweisen bis hin zur Bereitstellung von Anleitungen zur Behebung von Problemen und der Berichterstattung über Vertrags-SLAs. Auf diese Weise reduzieren Sie das Risiko von Anbietern und vereinfachen die Einhaltung von Vorschriften, ohne die internen Mitarbeiter zu belasten.
"Ob der Registrant über Verfahren zur Überwachung und Identifizierung wesentlicher Risiken durch Cybersecurity-Bedrohungen im Zusammenhang mit der Nutzung von Drittanbietern verfügt".

Prevalent ermöglicht es Ihnen, Ihre Drittparteien auf der Grundlage des Ausmaßes der Bedrohungen für Ihre Informationswerte zu bewerten und zu überwachen, indem inhärente Risiken für alle Drittparteien erfasst, verfolgt und quantifiziert werden. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten verwendet werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Offenlegung der Rolle der Geschäftsleitung und des Vorstands bei der Cybersicherheits-Governance eines Registranten

Artikel 106(c)(1) und 106(c)(2) der Verordnung S-K

"Die Verfahren, mit denen der Vorstand über Cybersecurity-Risiken informiert wird, und die Häufigkeit seiner Diskussionen zu diesem Thema; und ...

"Die Verfahren, mit denen diese Personen oder Ausschüsse über die Prävention, Erkennung, Eindämmung und Behebung von Cybersicherheitsvorfällen informiert werden und diese überwachen ...

"ob diese Personen oder Ausschüsse dem Vorstand oder einem Ausschuss oder Unterausschuss des Vorstands Informationen über solche Risiken melden"

Prevalent bietet einen Rahmen für die zentrale Messung der KRIs von Drittanbietern anhand Ihrer Anforderungen und die Verringerung von Lücken bei der Überwachung von Anbietern durch eingebettete Erkenntnisse des maschinellen Lernens (ML) und anpassbare, rollenbasierte Berichte.

Die Funktionen können Ihrem Team helfen, Risikotrends aufzudecken, den Risikostatus von Dritten zu bestimmen und Ausnahmen vom üblichen Verhalten zu erkennen, die weitere Untersuchungen rechtfertigen könnten.

Prevalent verbessert auch die Effizienz, indem es die richtigen Daten zur richtigen Zeit in die richtigen Hände gibt. Dies macht es den Empfängern von Berichten leicht, die Akzeptanz von Risiken schnell zu bestimmen und sichere Entscheidungen zu treffen, unabhängig von ihrem Kenntnisstand.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.