SEC verabschiedet neue Offenlegungsvorschriften zur Cybersicherheit

Am 26. Juli 2023 verabschiedete die US-Börsenaufsichtsbehörde (Securities Exchange Commission, SEC) endgültige Vorschriften zum Cybersicherheitsrisikomanagement, zur Strategie, zur Governance und zur Meldung von Vorfällen durch börsennotierte Unternehmen. Die endgültigen Vorschriften verlangen von den registrierten Unternehmen, (1) in einem neuen Punkt 1.05 des Formulars 8-K alle Cybersicherheitsvorfälle zu melden, die das registrierte Unternehmen als wesentlich erachtet, und (2) in ihren Jahresberichten auf Formular 10-K ihre Prozesse zur Bewertung, Identifizierung und Steuerung wesentlicher Risiken aus Cybersicherheitsbedrohungen, die wesentlichen Auswirkungen von Cybersicherheitsbedrohungen und früheren Cybersicherheitsvorfällen sowie spezifische Informationen über die Rolle des Vorstands und der Geschäftsleitung bei der Identifizierung und Steuerung von Risiken im Zusammenhang mit der Cybersicherheit offenzulegen. Die SEC verabschiedete außerdem Vorschriften, nach denen ausländische private Emittenten vergleichbare Offenlegungen vornehmen müssen.

Der Vorsitzende der SEC, Gary Gensler, erklärte, dass er davon ausgeht, dass die neuen Vorschriften sowohl Unternehmen als auch Anlegern zugutekommen werden. Er führte aus, dass zwar viele Unternehmen bereits Informationen zur Cybersicherheit offenlegen, aber sowohl Anleger als auch Unternehmen „davon profitieren würden, wenn diese Offenlegung einheitlicher, vergleichbarer und für Entscheidungen nützlicher erfolgen würde“.

Hintergrund

Vor der Verabschiedung der endgültigen Vorschriften verlangten weder die Verordnung S-K noch die Verordnung S-X ausdrücklich die Offenlegung von Cybersicherheitsrisiken. Da jedoch cyberbezogene Risiken immer häufiger auftraten, begann die SEC, den Mangel an Leitlinien in diesem Bereich zur Kenntnis zu nehmen. Im Jahr 2011 veröffentlichte die Abteilung für Unternehmensfinanzierung der SEC eine Auslegungsrichtlinie, in der sie ihre Ansichten zu den Offenlegungspflichten von Registranten im Bereich Cybersicherheit darlegte, gefolgt von einer zusätzlichen Auslegungsrichtlinie im Jahr 2018.

Am 9. März 2022 veröffentlichte die SEC einen Regelungsvorschlag zur Formalisierung der Offenlegungspflichten. Die endgültigen Regeln entsprechen weitgehend dem Regelungsvorschlag, mit einigen wichtigen Ausnahmen in Bezug auf die Offenlegung von Cybersicherheitsrisiken: (1) Die endgültigen Regeln schränken den Umfang der Informationen ein, die im Formular 8-K offengelegt werden müssen, nachdem Kommentatoren Bedenken geäußert hatten, dass die Offenlegung einiger Details die Sicherheitsrisiken verschärfen könnte. (2) Die endgültigen Vorschriften streichen den vorgeschlagenen Punkt 106(d)(2) der Verordnung S-K, der von den Registranten verlangt hätte, in ihren regelmäßigen Berichten Angaben zu machen, wenn eine Reihe von zuvor nicht offengelegten, einzeln unbedeutenden Cybersicherheitsvorfällen in ihrer Gesamtheit erheblich geworden wären. (3) Die endgültigen Vorschriften streichen den vorgeschlagenen Punkt 407(j) der Verordnung S-K, der Angaben zur Cybersicherheitskompetenz der Vorstandsmitglieder verlangt hätte.

Meldung von Cybersicherheitsvorfällen auf Formular 8-K

• Die endgültigen Vorschriften ändern das Formular 8-K durch Hinzufügen von Punkt 1.05, wonach Registranten verpflichtet sind, Informationen über einen Cybersicherheitsvorfall innerhalb von vier Werktagen nach Feststellung des Registranten, dass ein wesentlicher Cybersicherheitsvorfall vorliegt (und nicht nach dem Datum, an dem der Registrant den Vorfall entdeckt hat), offenzulegen.
  • Punkt 1.05 verpflichtet Registranten zur Offenlegung: (a) einer Beschreibung der wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Cybersicherheitsvorfalls; und (b) der wesentlichen Auswirkungen oder der vernünftigerweise zu erwartenden wesentlichen Auswirkungen auf den Registranten, einschließlich seiner Finanzlage und seiner Betriebsergebnisse. Dies ist eine weniger aufwendige Offenlegung als in den vorgeschlagenen Regeln vorgesehen, die auch Angaben darüber verlangt hätten, wann der Cybersicherheitsvorfall entdeckt wurde, ob er noch andauerte und ob der Registrant den Cybersicherheitsvorfall bereits behoben hatte oder gerade dabei war, ihn zu beheben.  Die endgültigen Vorschriften enthalten auch eine Anweisung zu Punkt 1.05, wonach ein Registrant keine spezifischen oder technischen Informationen über seine geplante Reaktion auf den Cybersicherheitsvorfall oder seine Cybersicherheitssysteme, zugehörige Netzwerke und Geräte oder potenzielle Systemschwachstellen in einer Detailtiefe offenlegen muss, die die Reaktion des Registranten auf den Vorfall oder dessen Behebung behindern würde.
  • Die endgültigen Vorschriften verlangen von einem Registranten, „ohne unangemessene Verzögerung“ nach Entdeckung eines Cybersicherheitsvorfalls zu entscheiden, ob dieser wesentlich ist. Dies ist ein etwas weniger strenger Maßstab als der in den vorgeschlagenen Vorschriften enthaltene Maßstab „so bald wie vernünftigerweise möglich“.
  • Gemäß den endgültigen Vorschriften bezeichnet „Cybersicherheitsvorfall“ ein unbefugtes Ereignis oder eine Reihe miteinander verbundener unbefugter Ereignisse, die sich auf den Informationssystemen eines Registranten ereignen oder über diese durchgeführt werden und die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationssysteme eines Registranten oder der darin gespeicherten Informationen gefährden.  Selbst wenn die endgültigen Vorschriften keine Verpflichtung zur Offenlegung in periodischen Berichten enthalten, wenn eine Reihe zuvor nicht offengelegter, einzeln unbedeutender Cybersicherheitsvorfälle in ihrer Gesamtheit erheblich geworden sind, muss ein Registrant dennoch ein Formular 8-K einreichen, wenn er von einer Reihe miteinander verbundener Cybersicherheitsvorfälle, die einzeln möglicherweise unbedeutend sind, erheblich betroffen ist.
  • Die endgültigen Vorschriften enthalten eine Anweisung zu Punkt 1.05, wonach ein Registrant in das Formular 8-K eine Erklärung aufnehmen muss, in der alle gemäß Punkt 1.05 erforderlichen Informationen aufgeführt sind, die zum Zeitpunkt der erforderlichen Einreichung noch nicht feststehen oder nicht verfügbar sind. In einem solchen Fall muss der Registrant innerhalb von vier Werktagen, nachdem er diese Informationen ohne unangemessene Verzögerung ermittelt hat, oder innerhalb von vier Werktagen, nachdem diese Informationen verfügbar geworden sind, eine Änderung zum Formular 8-K einreichen.
  • Im Gegensatz zu den vorgeschlagenen Regeln erlauben die endgültigen Regeln einem Registranten, die Einreichung des Formulars 8-K unter zwei begrenzten Umständen zu verzögern:
    • Wenn der Generalstaatsanwalt der Vereinigten Staaten feststellt, dass die Offenlegung ein erhebliches Risiko für die nationale Sicherheit oder die öffentliche Sicherheit darstellt, und die SEC schriftlich über diese Feststellung informiert, kann die Offenlegung auf dem Formular 8-K für einen vom Generalstaatsanwalt der Vereinigten Staaten festgelegten Zeitraum von bis zu 30 Tagen (in bestimmten Fällen verlängerbar) nach dem Datum, an dem die Offenlegung ansonsten erforderlich gewesen wäre, aufgeschoben werden. Die SEC hat in der Veröffentlichung zur Verabschiedung der endgültigen Regeln darauf hingewiesen, dass sie ein Verfahren eingerichtet hat, nach dem das Justizministerium auch den betroffenen Registranten darüber informiert, dass eine Mitteilung an die SEC erfolgt ist, damit der Registrant die Einreichung seines Formulars 8-K verzögern kann.
    • Wenn ein Registrant der Vorschrift der Federal Communications Commission unterliegt, wonach Verstöße gegen den Schutz von kundeneigenen Netzwerkinformationen („CPNI“) dem United States Secret Service („USSS“) und dem Federal Bureau of Investigation („FBI“) zu melden, sobald eine Verletzung der CPNI-Vorschriften festgestellt wurde, kann die Offenlegung auf dem Formular 8-K bis zu sieben Werktage nach der Meldung an den USSS und das FBI verschoben werden, sofern die SEC schriftlich darüber informiert wird.
  • Die endgültigen Vorschriften sehen vor, dass eine verspätete Einreichung des Formulars 8-K gemäß Punkt 1.05 nicht zum Verlust der Berechtigung zur Einreichung des Formulars S-3 oder SF-3 führt.
  • Punkt 1.05 des Formulars 8-K verlangt Inline-XBRL-Tagging, einschließlich detaillierter Tagging-Angaben zu narrativen Offenlegungen.

Offenlegung von Cybersicherheitsrisikomanagement, -strategien und -governance in Jahresberichten

• Die endgültigen Vorschriften ändern das Formular 10-K durch Hinzufügen des neuen Punktes 1C und des Punktes 106 der Verordnung S-K, die Angaben zu folgenden Punkten vorschreiben:
  • Die Prozesse eines Registranten, sofern vorhanden, zur Bewertung, Identifizierung und Steuerung wesentlicher Risiken aus Cybersicherheitsbedrohungen, die so detailliert sind, dass ein vernünftiger Investor diese Prozesse verstehen kann. Dies ist ein etwas flexiblerer Standard als die „Richtlinien und Verfahren”, die gemäß den vorgeschlagenen Regeln offengelegt werden müssen. Wie in der Veröffentlichung zur Verabschiedung der endgültigen Vorschriften erwähnt, wurde diese Änderung vorgenommen, um Bedenken auszuräumen, dass die vorgeschlagenen Vorschriften zu detaillierte Angaben enthalten und somit Sicherheitsrisiken schaffen würden. Die endgültigen Vorschriften enthalten die folgende nicht erschöpfende Liste von Offenlegungspunkten:
    • Ob und wie solche Prozesse in das gesamte Risikomanagementsystem oder die Prozesse des Registranten integriert wurden;
    • Ob der Registrant im Zusammenhang mit solchen Prozessen Gutachter, Berater, Wirtschaftsprüfer oder andere Dritte beauftragt; und
    • Ob der Registrant über Prozesse verfügt, um solche Risiken aus Cybersicherheitsbedrohungen im Zusammenhang mit der Nutzung von Drittanbietern zu überwachen und zu identifizieren.
  • Ob Risiken aus Cybersicherheitsbedrohungen, einschließlich solcher, die sich aus früheren Cybersicherheitsvorfällen ergeben, den Registranten, einschließlich seiner Geschäftsstrategie, seiner Betriebsergebnisse oder seiner Finanzlage, wesentlich beeinträchtigt haben oder mit hinreichender Wahrscheinlichkeit wesentlich beeinträchtigen könnten, und wenn ja, in welcher Weise.
  • Die Aufsicht des Verwaltungsrats über Risiken aus Cybersicherheitsbedrohungen und, falls zutreffend, die Identität eines für diese Aufsicht zuständigen Verwaltungsratsausschusses oder Unterausschusses sowie die Prozesse, durch die der Verwaltungsrat oder dieser Ausschuss über solche Risiken informiert wird. Dies ist eine engere Offenlegung als unter den vorgeschlagenen Regeln erforderlich gewesen wäre, die mehr Informationen darüber verlangt hätten, wie Cybersicherheit mit der Geschäftsstrategie des Registranten zusammenhängt, sowie zusätzliche Informationen über die Häufigkeit von Cybersicherheitsdiskussionen in Verwaltungsratssitzungen.
  • In einer Weise, die auch weniger detailliert ist als in den vorgeschlagenen Regeln vorgesehen (die Angaben zur Häufigkeit der Diskussionen des Managements über Cybersicherheit verlangt hätten), die Rolle des Managements bei der Bewertung und Steuerung der wesentlichen Risiken des Registranten aus Cybersicherheitsbedrohungen. Die endgültigen Regeln enthalten die folgende nicht erschöpfende Liste von Offenlegungspunkten:
    • Ob und welche Führungspositionen oder Ausschüsse für die Bewertung und Steuerung solcher Risiken verantwortlich sind und welche Fachkenntnisse diese Personen oder Mitglieder in einer Detailtiefe besitzen, die erforderlich ist, um die Art der Fachkenntnisse vollständig zu beschreiben;
    • Die Prozesse, durch die diese Personen oder Ausschüsse über die Prävention, Erkennung, Eindämmung und Behebung von Cybersicherheitsvorfällen informiert werden und diese überwachen; und
    • Ob diese Personen oder Ausschüsse Informationen über solche Risiken an den Verwaltungsrat oder einen Ausschuss oder Unterausschuss des Verwaltungsrats melden.
  • Punkt 106 der Verordnung S-K verlangt Inline-XBRL-Tagging, einschließlich detaillierter Tagging-Angaben in den Erläuterungen.

Ausländische private Emittenten

• Die endgültigen Vorschriften ändern das Formular 6-K dahingehend, dass „Cybersicherheitsvorfälle” als Berichtsthema gemäß der Allgemeinen Anweisung B hinzugefügt werden. Infolgedessen müssen ausländische private Emittenten Cybersicherheitsvorfälle im Formular 6-K offenlegen, wenn sie solche Vorfälle gemäß den Gesetzen der Gerichtsbarkeit, in der sie organisiert sind, gegenüber einer Börse oder ihren Wertpapierinhabern offenlegen oder offenlegen müssen.
• Die endgültigen Vorschriften ändern das Formular 20-F dahingehend, dass ausländische private Emittenten in ihren Jahresberichten in einem neuen Punkt 16K Angaben zur Cybersicherheit machen müssen, die denen entsprechen, die in Punkt 106 der Verordnung S-K für inländische Registranten vorgeschrieben sind.

Zeitpunkt des Inkrafttretens der endgültigen Vorschriften

• In Bezug auf die Einhaltung der Offenlegungspflichten für Cybersicherheitsvorfälle in Formular 8-K Punkt 1.05 und Formular 6-K müssen alle registrierten Unternehmen mit Ausnahme kleinerer berichtspflichtiger Unternehmen spätestens 90 Tage nach Veröffentlichung der neuen Vorschriften im Federal Register oder spätestens am 18. Dezember 2023 mit der Einhaltung beginnen.
  • Kleinere berichtspflichtige Unternehmen erhalten eine zusätzliche Frist von 180 Tagen und müssen spätestens 270 Tage nach Inkrafttreten der Vorschriften oder spätestens am 15. Juni 2024 mit der Einhaltung von Formular 8-K Punkt 1.05 beginnen.
• In Bezug auf Regulation S-K Item 106 und die entsprechenden Anforderungen in Formular 10-K sowie die vergleichbaren Anforderungen in Formular 20-F müssen alle registrierten Unternehmen diese Angaben ab den Jahresberichten für Geschäftsjahre, die am oder nach dem 15. Dezember 2023 enden, machen. Für Unternehmen, deren Geschäftsjahr dem Kalenderjahr entspricht, bedeutet dies, dass die Angaben in ihrem Formular 10-K oder Formular 20-F für 2023, das 2024 eingereicht wird, erforderlich sind.
• Alle Registranten müssen die gemäß den endgültigen Vorschriften erforderlichen Angaben in Inline XBRL kennzeichnen, beginnend ein Jahr nach der erstmaligen Einhaltung der entsprechenden Offenlegungspflicht.

Empfohlene Maßnahmen

Aufgrund der zunehmenden Verbreitung von Technologie in Unternehmen aller Branchen, der Zunahme von Cybersicherheitsvorfällen und der zusätzlichen Offenlegungspflichten für registrierte Unternehmen im Zusammenhang mit Cybersicherheitsvorfällen gehen wir davon aus, dass Cybersicherheit auch weiterhin ein Schwerpunktbereich für Unternehmen, Aufsichtsbehörden und Investoren sein wird. Angesichts dieser Bedeutung empfehlen wir registrierten Unternehmen und ihren Direktoren und Führungskräften, die folgenden Maßnahmen in Betracht zu ziehen:

• Registrierte Unternehmen sollten ihre Kontrollen und Verfahren zur Meldung von Cybervorfällen überprüfen, um sicherzustellen, dass Informationen rechtzeitig an die Geschäftsleitung weitergeleitet werden und dass unter Berücksichtigung der viertägigen Frist für die Einreichung eines Formulars 8-K gemäß Punkt 1.05 angemessene Wesentlichkeitsentscheidungen getroffen werden.
• Registranten sollten ihre Pläne zur Reaktion auf Cybersicherheitsvorfälle überprüfen und testen, um sicherzustellen, dass Vorfälle innerhalb der gesamten Organisation angemessen gemeldet werden. Diese Pläne sollten regelmäßig überprüft und durch simulierte Tabletop-Übungen getestet werden, um eine zeitnahe und angemessene Reaktion zu gewährleisten. Angesichts der neuen Offenlegungspflichten ist es wichtig, dass die Tests auch das Management einbeziehen, um sicherzustellen, dass die Organisation in der Lage ist, ihren erhöhten Offenlegungspflichten im Zusammenhang mit Cybersicherheitsvorfällen nachzukommen. Darüber hinaus sollten Registranten das Personal/Team benennen, das für die Feststellung der Wesentlichkeit eines Cybersicherheitsvorfalls verantwortlich ist, sowie deren spezifische Entscheidungs- und Dokumentationsprozesse beschreiben.
• Vorstände sollten sich weiterhin darüber im Klaren sein, welche Mitglieder über Fachwissen oder Erfahrung im Bereich Cybersicherheit verfügen und welche Ausschüsse oder Unterausschüsse gegebenenfalls für die Überwachung von Cybersicherheitsangelegenheiten zuständig sind oder sein sollten, und die Governance-Dokumente entsprechend anpassen. Auch wenn die endgültigen SEC-Vorschriften keine Offenlegung der individuellen Fachkenntnisse der Vorstandsmitglieder im Bereich Cybersicherheit vorschreiben, gehen wir davon aus, dass viele Unternehmen diese Offenlegung im Zusammenhang mit den Kompetenzmatrizen der Vorstandsmitglieder weiterhin vornehmen oder ergänzen werden.
• Registrierte Unternehmen sollten sich bemühen, konkret zu ermitteln, wer für die Überwachung von Risiken aus Cybersicherheitsbedrohungen verantwortlich ist und wie diese Prozesse nun offengelegt werden, wie Cybersicherheitsrisiken identifiziert und wie Cybersicherheitsvorfälle entdeckt, gemindert und behoben werden, sofern dies nicht bereits aus den aktuellen Unternehmensrichtlinien und -verfahren hervorgeht. Der Druck auf registrierte Unternehmen wird zunehmen, umfassende, risikobasierte Cybersicherheitsmanagementprogramme zu entwickeln, um die sich wandelnden Risiken für ihre Unternehmen zu überwachen. Solche Programme sollten je nach Bedarf unter anderem Folgendes umfassen: die Erstellung einer Datenkarte von Informationen und Systemen, die Festlegung geeigneter Cybersicherheits-Frameworks, die Durchführung von Risikobewertungen und Penetrationstests, die Umsetzung angemessener Sicherheitsmaßnahmen, vertragliche Schutzvorkehrungen (einschließlich der Sicherstellung, dass Prozesse zur Überwachung und Identifizierung von Risiken durch Drittanbieter vorhanden sind), die Bewertung von Cyberversicherungsoptionen, die Durchführung von Mitarbeiterschulungen und die Durchführung von Tabletop-Übungen, je nach Branche und spezifischen Cybersicherheitsrisiken des Registranten.
• Die Registranten sollten die Gutachter, Berater, Wirtschaftsprüfer und andere Dritte, die sie bei ihren Cybersicherheitsprogrammen unterstützen, ermitteln und dokumentieren, insbesondere diejenigen Dritten, die bei der Reaktion auf Vorfälle helfen, darunter IT-Forensiker, PR-Fachleute, Experten für Lösegeldverhandlungen, Katastrophenhilfe und Anwaltskanzleien.