Vorgeschlagene Cybersecurity-Regeln der SEC spielen eine große Rolle

Ab 2023 sollten Cybersecurity-Experten, die für börsennotierte Unternehmen arbeiten, mit einer viel strengeren Prüfung rechnen, wenn neue Regeln in Kraft treten, die von der Securities and Exchange Commission (SEC) aufgestellt wurden.

Auch wenn die Vorschriften noch nicht endgültig sind, wird allgemein erwartet, dass die SEC in diesem Frühjahr zusätzliche Anforderungen in Bezug auf die Offenlegung von Informationen nach einem Verstoß und die anschließende Aktualisierung der internen Kontrollen in diesem Frühjahr erlassen wird. Abgesehen von der regelmäßigen Offenlegung der Cybersecurity-Lage werden voraussichtlich auch höhere Strafen verhängt, wenn Cybersecurity-Vorfälle nicht angezeigt werden, die zu einer verzögerten oder verlängerten Offenlegung von Kundendaten führen. Höchstwahrscheinlich wird es auch erforderlich sein, dass mindestens ein Mitglied des Vorstands über Cybersecurity-Expertise verfügt.

Durch diese Anforderungen sollte die Cybersecurity im Allgemeinen verbessert werden, also stellt dies in Bezug darauf eine positive Entwicklung dar. In Bezug auf das allgemeine Bewusstsein bei Führungskräften für den Wert der Cybersecurity wurden zwar große Fortschritte erzielt, aber es gibt noch immer viel Raum für Verbesserungen.

Andererseits sind Cybersecurity-Führungskräfte möglicherweise eher persönlich für die Ergebnisse verantwortlich. Nach der Verurteilung von Joe Sullivan, dem ehemaligen Chief Security Office von Uber wegen „Behinderung des Verfahrens der Federal Trade Commission und Veruntreuung von Straftaten im Zusammenhang mit der versuchten Vertuschung eines Hackerangriffs auf Uber im Jahr 2016“ ist die Besorgnis bereits groß.

Zusätzlich zu möglichen Gefängnisstrafen hat die SEC den Ruf, harte Strafen zu verhängen. Cybersecurity-Führungskräfte, die in börsennotierten Unternehmen arbeiten, benötigen möglicherweise eine Art von Versicherungspolice, um diese Strafen zu bezahlen, falls die SEC ein Geldstrafe erhebt. Andere Cybersecurity-Führungskräfte entscheiden vielleicht einfach, dass die Risiken die Vergütung nicht wert sind, und beschließen für private Unternehmen zu arbeiten, die nicht den Regeln der SEC unterliegen. Die Cypersecurity-Mitarbeitenden könnten jedoch zu einem ganz anderen Schluss kommen. Öffentliche Unternehmen werden gesetzlich verpflichtet sein, mehr in die Cybersecurity zu investieren, auf eine Weise, die sie letztlich zu einem besseren Arbeitsplatz macht.

Unabhängig davon, ob Cybersecurity-Experten für ein öffentliches oder ein privates Unternehmen arbeiten, verspricht das kommende Jahr wesentlich anders zu werden. Ein Großteil der Aufmerksamkeit, die Cybersecurity-Experten seit Jahren fordern, wird ihnen nun endlich geschenkt. Der Aufwand, Compliance mit verschiedenen Vorgaben erreichen, nimmt infolgedessen stetig zu. Organisationen müssen zwar immer über diese Vorgaben hinausgehen, um Best Practices zu übernehmen und aufrechtzuerhalten, aber zumindest wird die Compliance-Messlatte jetzt höher gelegt. Weniger klar ist, wie lange es dauern wird, bis Organisationen von Aufsichtsbehörden wie der SEC zur Rechenschaft gezogen werden, aber ein oder zwei öffentlichkeitswirksame Beispiele für das Verhängen von Geldstrafen sollten allen deutlich machen, worum es geht.

In der Zwischenzeit sollten sich Cybersecurity-Teams, die für börsennotierte Unternehmen arbeiten, auf eine neue Cybersecurity-Realität vorbereiten. Neben einem besseren Verständnis von bekannten Schwachstellen, die sich auf Umgebungen auswirken, müssen sie auch die Fähigkeiten ihrer vorhandenen Cybersecurity-Plattformen bewerten. Wie die meisten Cybersecurity-Experten wissen, besteht das Problem darin, dass viele dieser Plattformen ihr Verfallsdatum in Bezug auf die tatsächliche Nützlichkeit weit überschritten haben.