Eines der bedeutendsten Cybersicherheitsereignisse der Geschichte steht der Finanzdienstleistungsbranche in Form neuer gesetzlicher Vorschriften bevor.
Die SEC hat neue Cybersicherheitsvorschriften vorgeschlagen, die sich auf FS-Unternehmen auswirken werden
Neue Vorschriften der US-Börsenaufsichtsbehörde Securities and Exchange Commission (SEC) werden erhebliche Auswirkungen auf Unternehmen haben, die Finanzdienstleistungen anbieten, und könnten nach ihrer Annahme tiefgreifende Auswirkungen auf die Cybersicherheitskultur haben.
Der neue Vorschlag der SEC
Der neue SEC-Vorschlag wird vollständige Cybersicherheitstransparenz und Rechenschaftspflicht auf höchster Ebene der Unternehmensführung – einschließlich der Vorstände – für alle börsennotierten Unternehmen vorschreiben. Es wird Unternehmen vorschreiben, bedeutende Cybersicherheitsereignisse auf ihrem Formular 8-K zu melden.
Sie müssen auch die Richtlinien und Praktiken des Unternehmens für das Management von Cybersicherheitsrisiken sowie die Beteiligung des Managements an deren Umsetzung offenlegen.
Der Prozess, den der Vorstand des Unternehmens zur Überwachung des Cybersicherheitsrisikos anwendet, sowie die Cybersicherheitsexpertise eines Vorstandsmitglieds müssen ebenfalls offengelegt werden.
Dieser Vorschlag wird einen großen Beitrag dazu leisten, dass Cybersicherheitsrisiken und -strategien zu einem Gespräch auf Vorstandsebene werden – eine lang benötigte Entwicklung. Es wird auch dazu beitragen, die Unternehmensausgaben für Cybersicherheit zu erhöhen und die Nachfrage nach Cybersicherheitswissen auf Vorstandsebene zu steigern. Und es wird auch die Bedeutung der Einbeziehung von CISOs in diese Gespräche und Entscheidungen auf Vorstandsebene unterstreichen.
Ins Detail gehen
Am 23. März 2022 legte die SEC einen Vorschlag zur Verbesserung und Standardisierung der Offenlegungen öffentlicher Unternehmen vor, die verpflichtet sind, die Berichtspflichten des Securities Exchange Act von 1934 zu erfüllen. Die Anforderungen beziehen sich auf Cybersicherheits-Risikomanagement, Strategie, Governance und Schadensbericht. Wesentliche Cybersicherheitsereignisse müssten gemeldet werden, Cybersicherheitsrichtlinien und -verfahren müssten regelmäßig offengelegt werden und der Vorstand müsste das Cybersicherheitsrisiko überwachen.
Wenn ein Finanzinstitut zu dem Schluss kommt, dass es einen erheblichen Cybersicherheitsvorfall gegeben hat, nachdem diese SEC-Anforderungen in Kraft getreten sind, hat es vier Werktage Zeit, um dies offenzulegen. Der Formular-8-K-Bericht – den Unternehmen der SEC vorlegen müssen, um wichtige Ereignisse anzukündigen, über die die Aktionäre informiert werden müssen – muss im Rahmen des Offenlegungsprozesses geändert werden. Der neue Plan schreibt auch die Offenlegung einer Reihe bisher nicht gemeldeter einzelner Cybersicherheitsvorfälle vor, die zusammengenommen schwerwiegende Folgen haben.
Ihre Politik aufgedeckt
Der neue Plan für Risikomanagement, Strategie und Governance-Offenlegung ist sogar noch bedeutsamer als der Abschnitt zur Meldung von Vorfällen im Vorschlag. In diesem Abschnitt des Vorschlags werden die Richtlinien und Praktiken des Cybersicherheits-Risikomanagements einer öffentlichen Körperschaft offengelegt. Unternehmen müssen auch offenlegen, wie der Vorstand das Cybersicherheitsrisiko überwacht.
Darüber hinaus müssen Unternehmen die Rolle der Geschäftsführung bei der Bewertung von Cybersicherheitsrisiken und der Umsetzung der Richtlinien und Verfahren des Unternehmens offenlegen. Dieser Prozess ähnelt dem Online-Posten des „Zeugnisses“ einer Organisation zur öffentlichen Überprüfung und Kommentierung.
Nach der neuen Verordnung müssen Unternehmen ihre Richtlinien und Prozesse zur Identifizierung und zum Umgang mit Risiken aus Cybersicherheitsangriffen offenlegen. Wenn keine vorhanden sind, wird die SEC dies zur Kenntnis nehmen, und es kann schwerwiegende Konsequenzen wie Bußgelder und Strafen für die Nichteinhaltung nach sich ziehen. Unternehmen müssen auch angeben, ob Cybersicherheit Teil ihrer Unternehmensstrategie, Finanzplanung und Kapitalallokation ist.
Nicht zuletzt schreibt die neue Verordnung vor, dass alle Vorstandsmitglieder, die über Cybersicherheitsexpertise verfügen, diese im Jahresbericht und einigen Proxy Statements angeben müssen. Der Vorstand sollte sowohl interne als auch externe Experten für Cybersicherheit (KMU) haben. Externe KMU sollten Fachwissen bereitstellen, und interne KMU sollten das institutionelle Wissen liefern.
Cybersicherheit: ein Muss für Führungskräfte
Die Lücken im Panzer der Cybersicherheit werden von Menschen geschaffen. Die einzige Möglichkeit, mit dieser Realität umzugehen, besteht darin, Ihre Mitarbeiter zu einem integralen Bestandteil der Lösung und nicht des Problems zu machen. Der Vorstand steht in der Regel an der Spitze der Organisationsstruktur; Hier muss die Aufmerksamkeit für die neuen Regeln ansetzen. Und sie müssen die Mitarbeiter mit laufenden Schulungen und neuen Technologien ausstatten.
Eine der wichtigsten treuhänderischen Verpflichtungen, die Direktoren und leitende Angestellte heute haben, ist die Cybersicherheit. Der Vorstand muss sicher sein, dass die Richtlinien und Praktiken zur Cybersicherheit befolgt werden. Führungskräfte müssen im gesamten Unternehmen eine risikobewusste Kultur etablieren und pflegen, die eine bessere Entscheidungsfindung ermöglicht.
Compliance am Horizont
Ob wir uns dessen bewusst sind oder nicht, der Finanzdienstleistungssektor ist für uns alle unverzichtbar. Sie muss gestärkt und geschützt werden – und zwar jetzt, nicht später.
Angesichts dieser Tatsache entstehen neue Vorschriften, deren Einhaltung nicht optional ist. Unternehmen müssen ihre Richtlinien und Verfahren mit der SEC und anderen internationalen Regulierungsbehörden abstimmen, um die digitale Welt für Investoren und Verbraucher gleichermaßen sicherer zu machen.
Über den Autor:
Michael Brown ist Field CISO für Finanzdienstleistungen beim Cybersicherheitsunternehmen Fortinet.
Er ist spezialisiert auf Cybersicherheitsvorschriften, ESG-Auswirkungen, SD-WAN, SD-Branch, Zero Trust, elektronische Handelssicherheit mit geringer Latenz, SASE und Multi-Cloud-Lösungen.
- Ameise finanziell
- BankingTech
- Blockchain
- Blockchain-Konferenz Fintech
- Fintech
- coinbase
- Einfallsreichtum
- Compliance
- Krypto-Konferenz Fintech
- Internet-Sicherheit
- Datenanalyse
- digital
- Finanzdienstleistungen / Finserv
- FinTech
- Fintech-Innovation
- Fortinet
- OpenSea
- PayPal
- Paytech
- Zahlweg
- Plato
- platon ai
- Datenintelligenz von Plato
- PlatoData
- Platogaming
- Rasorpay
- Reporting
- Revolut
- Ripple
- Risikomanagement
- quadratische Fintech
- Streifen
- Tencent Fintech
- Kopiergerät
- Zephyrnet
