Die US-amerikanische Börsenaufsicht Securities and Exchange Commission (SEC) verschärft die Regeln, nach denen Unternehmen über Cybervorfälle zu berichten haben. Das betrifft neben Informationen zu Hackerattacken und Datenlecks auch Auskünfte über die grundlegende Cybersecurity-Strategie, Governance-Regeln sowie das Risikomanagement.

"Ob ein Unternehmen eine Fabrik bei einem Brand verliert oder Millionen von Dateien bei einem Cybersicherheitsvorfall - beides kann für Investoren von Bedeutung sein", begründete der SEC-Vorsitzende Gary Gensler das neue Regelwerk. Derzeit würden zwar viele börsennotierte Unternehmen ihren Anlegern schon diverse Informationen zu ihrer Cybersicherheit anbieten. Doch das Angebotene ist den SEC-Verantwortlichen zu chaotisch.

"Ich denke, dass Unternehmen und Investoren gleichermaßen davon profitieren würden, wenn diese Offenlegung auf eine konsistente und vergleichbare Art und Weise erfolgen würde", sagte Gensler. Die neuen Regeln würden dazu beitragen, dass die Konzerne wesentliche Informationen über ihre Cybersicherheit veröffentlichen müssten. Das komme nicht nur den Investoren, sondern auch den Unternehmen selbst zugute.

Unternehmen müssen Angriffe der SEC melden

Die neuen SEC-Regeln sehen zusätzliche Kapitel in den offiziellen Berichtsformularen vor. Demnach verlangt Punkt 1.05 des Formulars 8-K von den Unternehmen, jeden Cybersicherheitsvorfall zu melden, den sie als wesentlich erachten. Darüber hinaus müssten alle wichtigen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie seine tatsächlichen und wahrscheinlichen Auswirkungen auf das Unternehmen beschrieben werden. Das Formular 8-K ist ein Bericht, den Unternehmen bei außerplanmäßigen Vorkommnissen veröffentlichen müssen. Außerplanmäßig bedeutet, es muss auch außerhalb der üblichen Quartals- oder Jahresberichte informiert werden.

Formular 1-K nach Artikel 05.8 legt zudem Fristen fest, bis wann ein Cybervorfall gemeldet werden muss: in der Regel spätestens vier Werktage, nachdem das Unternehmen festgestellt hat, dass es sich um einen gravierenden Sicherheitsvorfall handelt. Die Offenlegung darf sich laut SEC allerdings verzögern, wenn der Generalstaatsanwalt der Vereinigten Staaten feststellt, dass eine sofortige Veröffentlichung ein erhebliches Risiko für die nationale oder die öffentliche Sicherheit darstellen würde.

Mehr Transparenz in Sachen Security-Prozesse und -Knowhow

Die SEC-Regeln verlangen von den Betrieben künftig auch mehr Transparenz hinsichtlich ihrer Security-Strategien. Die Verordnung S-K Punkt 106 sieht vor, dass börsennotierten Konzerne beschreiben, mit welchen Prozessen sie Risiken durch Cybersicherheitsbedrohungen bewerten, identifizieren und managen. Außerdem müssen sie die wahrscheinlichen Folgen von Bedrohungen auf ihr Geschäft einschätzen.

Punkt 106 fordert außerdem, dass die Firmen beschreiben, wie ihr Verwaltungsrat die Risiken von Security-Bedrohungen beaufsichtigt. Außerdem müssen die Betriebe offenlegen, welche Rolle das Management im Umgang mit Security-Risiken einnimmt und es über das notwendige Fachwissen verfügt. All diese Angaben sind künftig auch im klassischen Jahresbericht auf Formular 10-K erforderlich.

Cyberangriffe in Deutschland 2023: Diese Unternehmen hat's schon erwischt

Die aktualisierten SEC-Vorschriften gelten nicht nur für US-Firmen. Sie verlangen von ausländischen Unternehmen vergleichbare Auskünfte. Diese müssen auf Formular 6-K über Cybersicherheitsvorfälle und auf Formular 20-F über ihr Management von Cybersecurity-Risiken, ihre Sicherheitsstrategie und ihre Governance-Regeln berichten.

Wem hilft die Offenheit mehr: Investoren oder Hackern?

Mit dem Regelwerk begibt sich die US-Börsenaufsicht auf ein unsicheres Terrain. Einerseits ist für Investoren Transparenz in Sachen Cybersecurity wünschenswert: Sie möchten die Bedrohungssituation einschätzen können. Andererseits dürfen die Informationspflichten nicht so weit gehen, dass Hacker aus den Börsenberichten Tipps für ihre Angriffe ableiten können. Dazu kommen Unschärfen in der Regulatorik: Vor allem die Frage, wann ein Cybervorfall als "wesentlich" und damit berichtspflichtig einzustufen ist, dürfte noch für so manche Diskussion sorgen.

Unternehmen sollten sich dennoch zügig mit den neuen Vorschriften befassen. Die Regeln treten 30 Tage nach der Veröffentlichung im Federal Register in Kraft. Die Offenlegungspflichten der US-Börsenaufsicht auf den Formularen 10-K und 20-F gelten bereits für die Berichte der Geschäftsjahre, die am oder nach dem 15. Dezember 2023 enden. Auskünfte auf den Formularen 8-K und 6-K werden 90 Tage nach dem Datum der Veröffentlichung im Federal Register oder spätestens am 18. Dezember 2023 fällig, je nachdem, was später eintritt. Ausnahmen sollen für kleinere Unternehmen gelten. Sie bekommen weitere 180 Tage Zeit, bevor sie die neuen Berichtspflichten erfüllen müssen.