Endgültige Regeln der SEC: Cybersicherheit im Fokus
Cybersicherheitsbedrohungen und -vorfälle stellen weiterhin erhebliche Risiken für börsennotierte Unternehmen, Investoren und Marktteilnehmer weltweit dar. Die Kosten dieser Vorfälle für Unternehmen und Investoren steigen weiter. Um die Offenlegung von Cybersicherheitsrisiken, Cybersicherheitsstrategien, Unternehmensführung und wesentlichen Cybersicherheitsvorfällen durch börsennotierte Unternehmen zu verbessern und zu standardisieren, hat die U.S. Securities and Exchange Commission (SEC) neue Regeln vorgeschlagen und verabschiedet.
Am 26. Juli 2023 verabschiedete die SEC die endgültigen Regeln “Cybersicherheitsrisikomanagement, Strategie, Governance und Offenlegung von Vorfällen“ um die Offenlegung von Cybersicherheitsvorfällen und Risikomanagementprozessen zu standardisieren und zu verbessern.
Was ist die SEC?
Die SEC ist eine unabhängige Bundesaufsichtsbehörde der Vereinigten Staaten, die 1934 gegründet wurde und für den Schutz der Anleger, die Aufrechterhaltung eines fairen und ordnungsgemäßen Funktionierens der Wertpapiermärkte und die Erleichterung der Kapitalbildung zuständig ist. Bundesbehörden sind im Allgemeinen Teil der Exekutive der Regierung. Diese Behörden werden vom Kongress beauftragt, Vorschriften auf der Grundlage der vom Kongress verabschiedeten Gesetze zu erlassen. Der Prozess der Veröffentlichung neuer Vorschriften wird als „rule making“ bezeichnet.
Offenlegungsvorschriften für Cybersicherheit
Die SEC veröffentlicht endgültige Regeln zur Klärung der Auslegung von Bundesgesetzen und der Art und Weise, wie die Gesetze anzuwenden sind. Die Agentur kann auch Anforderungen und Verbote festlegen sowie Leitlinien oder andere politische Erklärungen veröffentlichen.
Die im Juli 2023 veröffentlichten endgültigen Regeln für die Offenlegung von Informationen zur Cybersicherheit gelten ab dem 5. September 2023. US-börsennotierte Unternehmen müssen der SEC in ihren Jahresberichten für das Geschäftsjahr, das am oder nach dem 15. Dezember 2023 endet, Informationen zu Cybersicherheitsrisiko, Strategie und Governance vorlegen. Hinsichtlich der Offenlegung erheblicher Cybersicherheitsvorfälle unter Punkt 1.05 des Formblatts 8-K müssen Unternehmen die Anforderungen ab dem 18. Dezember 2023 erfüllen.
Unternehmen, die sich als „smaller reporting companies“ qualifizieren, erhalten eine zusätzliche Frist von 180 Tagen, um mit der Meldung von Punkt 1.05 auf Formular 8-K zu beginnen. Diese "kleineren berichtenden Unternehmen" werden ab dem 15. Juni 2024 mit der Offenlegung wesentlicher Cybervorfälle beginnen.
Die endgültigen Regeln beinhalten auch Berichts- und Offenlegungspflichten für ausländische private Emittenten (FPIs). Dazu gehören das Formular 20-F für Jahresberichte und das Formular 6-K für aktuelle Berichte. FPIs sind unterschiedlich reguliert und haben Anforderungen, die sich auf ihr Heimatland und ihre Berichtspflichten beziehen.
