.png)
Cyber Firm Reports SEC's Final Rule Language Causing 10-K Filer Missteps
Die HALOCK Security Labs und ihre Schwesterfirma Reasonable Risk haben kürzlich einen Bericht veröffentlicht, der aufzeigt, dass die Sprache in den neuen Cybersecurity-Anforderungen der US-amerikanischen Securities and Exchange Commission (SEC) für viele Führungskräfte öffentlicher Unternehmen verwirrend ist. Dies hat zur Folge, dass zahlreiche 10-K-Einreichungen unrealistische Behauptungen enthalten, wonach die Unternehmen keine Risiken in Bezug auf Cybersecurity-Vorfälle erkennen, die erhebliche Auswirkungen haben könnten. Frühzeitige 10-K-Einreicher scheinen zudem ein stärkeres Vertrauen in ihre Cybersecurity-Programme zu implizieren, als es die Führungskräfte in anonymen Befragungen beschreiben.
Hintergrund der SEC-Regeln
Die neuen Vorschriften der SEC zur Cybersecurity-Risikomanagement, Strategie, Governance und Vorfalloffenlegung erfordern von öffentlichen Unternehmen, dass sie in Abschnitt 1C ihrer 10-Ks darlegen, wie sie ihre Cybersecurity-Risiken managen. Um die Dinge zu komplizieren, müssen sie dabei eine klare Sprache verwenden, die für vernünftige Investoren verständlich ist. Die endgültige Regel der SEC impliziert zudem, dass Klarheit und Transparenz im Umgang mit Cybersecurity-Risiken mit einem erhöhten Vertrauen der Investoren belohnt werden, was wiederum die Transparenz und das Risikomanagement verbessern soll.
Jim Mirochnik, CEO von Reasonable Risk LLC, äußerte sich zu den Herausforderungen, denen sich nicht-technische Führungskräfte gegenübersehen: „Wir stellen fest, dass sie typischerweise nicht die Informationen erhalten, die sie benötigen, um fundierte Entscheidungen zu treffen, um Cybersecurity-Initiativen zu priorisieren und Ressourcen zu genehmigen. Das Fehlen der richtigen Informationen erschwert es, das Führungsteam und externe Investoren angemessen zu informieren.“
HALOCKs jährliche 10-K-Umfrage
Die jährliche 10-K-Umfrage von HALOCK beobachtet, wie sich die Offenlegungen öffentlicher Unternehmen über ihre Cybersecurity-Programme im Laufe der Zeit verändern. Diese Umfrage bewertet qualitativ und quantitativ die öffentlichen Einreichungen, um festzustellen, ob sich die „Klarheit und Transparenz“ tatsächlich verbessern. Der erste Bericht der Umfrage 2024 legt nahe, dass die meisten Unternehmen Compliance-Standards mit Risikomanagement vermischen. Dies deutet darauf hin, dass ihre Risiko- und Governance-Programme auf der Einhaltung von Kontrollen basieren, anstatt sich auf das Risikomanagement zu konzentrieren, das der Kernfokus der neuen Regel ist.
Verwirrung durch SEC-Vorgaben
Ein wiederkehrendes Thema in den 10-Ks deutete darauf hin, dass die SEC selbst die Quelle der zusätzlichen Verwirrung für die Einreicher sein könnte. Die endgültige Regel verlangt von jedem Einreicher, anzugeben, ob vergangene oder zukünftige Risiken ein erhebliches Ereignis verursacht haben oder verursachen könnten. Diese Formulierung vermischt bekannte vergangene Ereignisse mit unsicheren zukünftigen Ereignissen. In Reaktion auf diese Aufforderung gaben Einreicher häufig an, dass keine vergangenen Risiken oder absehbaren Risiken ein erhebliches Ergebnis verursacht haben oder verursachen würden.
Chris Cronin, der Hauptredakteur des Berichts, kommentierte: „Es ist unrealistisch, dass so viele Unternehmen Risikoanalysen durchgeführt haben und keine potenziell erheblichen Risiken festgestellt haben. Es scheint, dass die Führungskräfte so besorgt waren, ihre ersten Einreichungen falsch zu machen, dass sie sich zu sehr an die endgültige Regel hielten und den Fehler der SEC wiederholten.“
Entwicklung der Cybersecurity-Programme
Die Cybersecurity-Programme in den Vereinigten Staaten konzentrieren sich historisch gesehen auf die Einhaltung von Kontrollen oder Reifegraden, um Cybersecurity-Risiken zu managen. Regulierungsbehörden erwarten jedoch, dass Organisationen ihre Programme mit Blick auf die Wahrscheinlichkeit und das Ausmaß von Schäden für Dritte, wie die Öffentlichkeit oder Investoren, vorantreiben. Regulierungsbehörden betonen zunehmend, dass Cybersecurity-Schutzmaßnahmen und -Programme rechtlich als „angemessen“ verteidigt werden können, wenn die Kosten und Belastungen der Schutzmaßnahmen im Verhältnis zu den Risiken stehen, die sie mindern.
Die SEC fordert die Unternehmensführung heraus, eine aktivere Rolle in der Verantwortung und Transparenz ihrer Organisationen im Risikomanagement zu übernehmen. Mit der Weiterentwicklung des Cybersecurity-Risikomanagements werden Unternehmen gezwungen sein, ihre Kompetenzen über die Einhaltung von Kontrollen hinaus auszudehnen und Cybersecurity-Risiken proaktiv zu managen, so wie sie es mit anderen Geschäftsrisiken tun.
Rolle von HALOCK und Reasonable Risk
HALOCK und Reasonable Risk unterstützen Organisationen dabei, die neu geforderten Fähigkeiten im Cybersecurity-Risikomanagement und in der Governance zu erlernen und zu betreiben. Der jährliche 10-K-Umfragebericht ist eine gemeinsame Anstrengung, um Einblicke zu gewinnen, wie gut die Praktiken des Cybersecurity-Risikomanagements sich verbessern. Beide Organisationen tragen ihr geistiges Eigentum und ihre Werkzeuge zur Bildung der Cybersecurity-Community und der Organisationen bei, die sie unterstützen.
Schlussfolgerung
Die neuen Anforderungen der SEC stellen eine bedeutende Herausforderung für Unternehmen dar, die sich an die neuen Offenlegungsvorschriften anpassen müssen. Die Unsicherheiten und die Komplexität der neuen Regelungen erfordern eine sorgfältige Planung und Koordination innerhalb der Unternehmen, um sicherzustellen, dass die Offenlegungen sowohl den regulatorischen Anforderungen als auch den Erwartungen der Investoren gerecht werden. Die Zeit wird zeigen, wie effektiv Unternehmen diese Herausforderungen meistern und ob die angestrebte Transparenz im Bereich der Cybersecurity tatsächlich erreicht werden kann.
Quellen: Finanzen.net
