Die vorgeschlagene SEC-Cybersicherheitsregel wird CISOs unnötig belasten

Im März 2022 hat die Securities and Exchange Commission (SEC) schlug eine Regel vor über Cybersicherheitsoffenlegung, Governance und Risikomanagement für öffentliche Unternehmen, bekannt als Vorgeschlagene Regel für öffentliche Unternehmen (PRPC). Diese Regel würde Unternehmen dazu verpflichten, „wesentliche“ Cybersicherheitsvorfälle innerhalb von vier Tagen zu melden. Es würde auch erfordern, dass Vorstände über Fachwissen im Bereich Cybersicherheit verfügen.

Es überrascht nicht, dass es so ist auf allerlei Widerstände stoßen. Die vorgeschlagene Regelung lässt in ihrer jetzigen Form viel Interpretationsspielraum und ist in manchen Bereichen unpraktisch.

Zum einen wird das enge Offenlegungsfenster einen enormen Druck auf die Chief Information Security Officers (CISOs) ausüben, wesentliche Vorfälle offenzulegen, bevor ihnen alle Details vorliegen. Es kann Wochen und manchmal Monate dauern, bis Vorfälle verstanden und vollständig behoben werden. Es ist unmöglich, die Auswirkungen einer neuen Schwachstelle abzuschätzen, solange nicht ausreichend Ressourcen für die Behebung bereitgestellt werden. CISOs müssen möglicherweise auch Schwachstellen offenlegen, die mit der Zeit weniger problematisch und daher nicht wesentlich sind. Dies könnte sich wiederum auf den kurzfristigen Preis eines Unternehmens auswirken.

Vorfälle sind eine lebendige Sache – keine einmalige Sache

Viertägige Offenlegungspflichten mögen auf den ersten Blick gut klingen. Sie sind jedoch nicht realistisch und werden CISOs letztendlich davon abhalten, Brände zu löschen.

Als Vergleich verwende ich die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Gemäß der Verordnung müssen Unternehmen Vorfälle der Nichteinhaltung innerhalb von 72 Stunden melden. Im Fall der DSGVO gilt jedoch: Die Meldepflicht ist klar definiert. Während 72 Stunden oft zu früh sind, um die Einzelheiten der Gesamtauswirkungen eines Vorfalls zu kennen, wissen Unternehmen zumindest, ob persönliche Daten kompromittiert wurden.

Vergleichen Sie dies mit den vom PRPC vorgeschlagenen Offenlegungspflichten. Organisationen haben zusätzliche 24 Stunden Zeit, müssen sich jedoch – basierend auf den bisherigen Veröffentlichungen – intern qualifizieren, wenn es zu einem Verstoß kommt Ihres Materials. Gemäß der DSGVO kann ein Unternehmen dies basierend auf der Sensibilität der Daten, ihrem Umfang und dem Speicherort der Daten tun. Gemäß PRPC definiert die SEC „Wesentlichkeit“ als alles, was ein „vernünftiger Aktionär als wichtig erachten würde“. Dabei kann es sich praktisch um alles handeln, was Aktionäre für ihr Unternehmen als wesentlich erachten. Es ist ziemlich weit gefasst und nicht klar definiert.

Andere schwache Definitionen

Ein weiteres Problem ist die Anforderung des Vorschlags, Umstände offenzulegen, in denen ein Sicherheitsvorfall für sich genommen nicht wesentlich war, sich aber „insgesamt“ zu einem solchen entwickelt hat. Wie funktioniert das in der Praxis? Ist eine ungepatchte Schwachstelle von vor sechs Monaten nun Gegenstand einer Offenlegung (vorausgesetzt, das Unternehmen hat sie nicht gepatcht), wenn sie dazu genutzt wird, den Umfang eines späteren Vorfalls zu erweitern? Wir verknüpfen bereits Bedrohungen, Schwachstellen und geschäftliche Auswirkungen. Eine Schwachstelle, die nicht ausgenutzt wird, ist nicht wesentlich, da sie keine geschäftlichen Auswirkungen hat. Was müssen Sie offenlegen, wenn aggregierte Vorfälle gemeldet werden müssen, und macht die Aggregationsklausel dies noch schwieriger zu erkennen?

Um die Sache noch komplizierter zu machen, verlangt die vorgeschlagene Regel von Organisationen, alle Richtlinienänderungen offenzulegen, die sich aus früheren Vorfällen ergeben haben. Wie streng wird dies gemessen und, ehrlich gesagt, warum? Richtlinien sollen Absichtserklärungen sein – sie sollen keine einfachen, forensischen Konfigurationsleitfäden sein. Es ist sinnvoll, ein Dokument auf niedrigerer Ebene (einen Standard) zu aktualisieren, um einen bestimmten Verschlüsselungsalgorithmus für sensible Daten vorzuschreiben. Es gibt jedoch nur wenige Dokumente auf höherer Ebene, die aufgrund eines Vorfalls aktualisiert würden. Beispiele könnten die Anforderung einer Multifaktor-Authentifizierung oder die Änderung der Patch-Service-Level-Vereinbarung (SLA) für kritische Schwachstellen im Umfang sein.

Schließlich besagt der Vorschlag, dass vierteljährliche Gewinnberichte das Forum für Offenlegungen sein werden. Persönlich scheinen vierteljährliche Gewinnmitteilungen nicht das richtige Forum zu sein, um sich eingehend mit Richtlinienaktualisierungen und Sicherheitsvorfällen zu befassen. Wer gibt die Updates? Der CFO oder CEO, der normalerweise Gewinnberichte erstellt, ist möglicherweise nicht ausreichend informiert, um diese kritischen Berichte zu erstellen. Schließt sich nun auch der CISO den Anrufen an? Und wenn ja, werden sie auch auf Fragen von Finanzanalysten antworten? Es scheint alles unpraktisch, aber wir müssen abwarten und sehen.

Fragen zur Vorstandserfahrung

Die erste Version des PRPC erforderte Offenlegungen über die Aufsicht des Vorstands über Richtlinien zum Risikomanagement im Bereich der Cybersicherheit. Dazu gehörten Angaben zu den einzelnen Vorstandsmitgliedern und deren jeweiliger Cyber-Expertise. Die SEC gibt an, dass sie die Definition angesichts der unterschiedlichen Fähigkeiten und Erfahrungen der einzelnen Gremien bewusst weit gefasst gehalten hat.

Glücklicherweise haben sie sich nach eingehender Prüfung dazu entschieden, diese Anforderung aufzuheben. PRPC fordert Unternehmen immer noch auf, den Prozess des Vorstands zur Überwachung von Cybersicherheitsrisiken und die Rolle des Managements beim Umgang mit diesen Risiken zu beschreiben.

Dies erfordert einige Anpassungen in der Kommunikation und im allgemeinen Bewusstsein. Kürzlich haben Dr. Keri Pearlson, Geschäftsführerin für Cybersicherheit am MIT Sloan, und Lucia Milică, CISO bei Stanley Black & Decker, befragte 600 Vorstandsmitglieder über Aktivitäten rund um Cybersicherheit. Sie fanden heraus, dass „weniger als die Hälfte (47 %) der Mitglieder in Vorständen tätig sind, die regelmäßig mit ihren CISOs interagieren, und fast ein Drittel von ihnen sieht ihre CISOs nur bei Vorstandspräsentationen.“ Dies deutet eindeutig auf eine Kommunikationslücke hin.

Die gute Nachricht ist, dass die meisten Vorstände bereits über einen Prüfungs- und Risikoausschuss verfügen, der zu diesem Zweck als Untergruppe des Vorstands dienen kann. Allerdings ist es nicht ungewöhnlich, dass CISOs und CSOs Themen im Zusammenhang mit Cybersicherheit vortragen, die der Rest des Vorstands nicht vollständig versteht. Um diese Lücke zu schließen, muss es eine stärkere Abstimmung zwischen dem Vorstand und den Sicherheitsverantwortlichen geben.

Es herrscht Unsicherheit

Wie bei jeder neuen Verordnung gibt es auch bei PRPC Fragen und Unsicherheiten. Wir müssen einfach abwarten, wie sich alles entwickelt und ob die Unternehmen die vorgeschlagenen Anforderungen erfüllen können.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos