Geänderte Verordnung S-P: Bleibt bestehen und wird 2026 überprüft

Im vergangenen Monat veröffentlichte die Prüfungsabteilung der US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) ihre „Prüfungsschwerpunkte” für das Geschäftsjahr 2026. In der diesjährigen Veröffentlichung kündigte die SEC an, dass sie damit beginnen werde, die betroffenen Anlageberater, Investmentgesellschaften und Broker-Dealer auf die Einhaltung der Änderungen der Verordnung S-P zu überprüfen, die unter anderem vorschreiben, dass sie Datenverstöße im Zusammenhang mit Kundendaten innerhalb von 30 Tagen melden müssen. 

Diese Änderungen, verabschiedet am 16. Mai 2024[1], und allgemein als „Amended Reg S-P” bekannt, überstanden die Aufhebung von vierzehn Regeln im Juni 2025, die vom früheren SEC-Vorsitzenden Gary Gensler verabschiedet worden waren. Die Amended Reg S-P scheint nicht nur diese Flut von Regelaufhebungen überstanden zu haben, sondern könnte nun im kommenden Jahr und darüber hinaus unter der Division of Examinations sogar an Bedeutung gewinnen. Konkret empfiehlt die SEC in den Prüfungsprioritäten Folgendes:

In Vorbereitung auf die Stichtage für die Umsetzung der Änderungen der Kommission an der Verordnung S-P wird die Abteilung während der Prüfungen mit den Unternehmen über deren Fortschritte bei der Erstellung von Programmen zur Reaktion auf Vorfälle sprechen, die angemessen darauf ausgelegt sind, unbefugten Zugriff auf oder unbefugte Nutzung von Kundendaten zu erkennen, darauf zu reagieren und die Folgen zu beheben. Nach den geltenden Stichtagen wird die Abteilung prüfen, ob die Unternehmen Richtlinien und Verfahren gemäß den neuen Bestimmungen der Verordnung entwickelt, umgesetzt und aufrechterhalten haben, die administrative, technische und physische Sicherheitsvorkehrungen zum Schutz von Kundendaten regeln.[2]   

Obwohl es 2025 zu raschen und erheblichen Änderungen bei vielen Prioritäten der SEC gekommen ist, bleibt die Cybersicherheit weiterhin ein Schwerpunkt. Dies sollte keine Überraschung sein, da man hoffen würde, dass das Cyber-Risikomanagement unabhängig davon, wer den „Vorsitz“ innehat, eine Priorität der SEC bleibt. 

Das Datum für die Einhaltung der geänderten Reg S-P für größere berichtspflichtige Unternehmen war der 3. Dezember 2025, für kleinere berichtspflichtige Unternehmen ist es der 3. Juni 2026. Die wichtigsten Änderungen, die diese Regelung vorschreibt, sind:

• Entwicklung und Umsetzung schriftlicher Richtlinien und Verfahren für einen Notfallplan;

• Entwicklung und Umsetzung schriftlicher Richtlinien und Verfahren zur Überwachung von Dienstleistern, einschließlich Verfahren, die angemessen gestaltet sind, um sicherzustellen, dass Dienstleister betroffene Unternehmen innerhalb von 72 Stunden über Sicherheitsvorfälle im Zusammenhang mit „Kundeninformationssystemen“ informieren; 

• Benachrichtigung von Kunden (einschließlich Kunden bestimmter anderer Finanzinstitute) innerhalb von 30 Tagen, falls ihre „sensiblen Kundendaten” kompromittiert wurden; und 

• Erweiterung des Geltungsbereichs der Informationen, die unter die ursprüngliche „Reg S-P“ fallen, Einführung zusätzlicher Aufzeichnungspflichten für betroffene Institutionen und Einführung einer Ausnahme von der Verpflichtung zur jährlichen Zustellung der Datenschutzerklärung.

Daher müssen Unternehmen darauf vorbereitet sein, dass die Mitarbeiter der Prüfungsabteilung sie auf ihre Bereitschaft für die geänderte Reg S-P überprüfen. Darüber hinaus hat die SEC Anfang dieses Jahres bei der Bekanntgabe der Prioritäten für ihre Abteilung für Cyber- und neue Technologien Folgendes aufgenommen: „Einhaltung der Cybersicherheitsvorschriften und -bestimmungen durch regulierte Unternehmen“. Diese Priorität zeigt in Verbindung mit den in diesem Artikel beschriebenen Prüfungsprioritäten, dass die Cybersicherheit auch nach der allgemeinen Abschaffung der „Regulierung durch Durchsetzung“ durch den SEC-Vorsitzenden Paul Atkins weiterhin ein Schwerpunktbereich der Kommission bleibt.