Umwelt-, Sozial- und Governance-Überlegungen (ESG) sind kaum neue Themen, wenn es um die Compliance-Berichterstattung für Finanzdienstleistungsunternehmen geht, aber die Auswirkungen von Cybersicherheitsverletzungen auf die Governance-Komponente werden bald für Finanz- und Nicht-Finanzunternehmen gleichermaßen an Bedeutung gewinnen . Ganz gleich, ob es um Datenschutzprobleme, die finanziellen Verluste durch Ransomware oder die Geschäftskontinuität aus Governance-Perspektive geht, Cyber-Bedrohungen stellen ESG-Diskussionen in den Vordergrund von Vorstandssitzungen und C-Suite-Diskussionen auf der ganzen Welt.
Die Berichtsänderungen, mit denen US-Unternehmen konfrontiert sind, könnten sich aufgrund der jüngsten Entwicklungen erheblich ausweiten Regeländerungen vom Vorsitzenden der Securities and Exchange Commission, Gary Gensler. Berichtsanforderungen für die Cybersicherheits-Governance, ähnlich denen für die Prüfung und Finanzberichterstattung, die im Sarbanes-Oxley Act von 2002 (SOX) enthalten sind, wären eine Schlüsselkomponente der neuen Vorschriften.
Die SOX-Governance-Anforderungen konzentrieren sich darauf, Anleger vor betrügerischer Finanzberichterstattung durch Unternehmen zu schützen, während die Cybersicherheits-Governance darauf abzielt, die Berichterstattung über neue und vergangene Cyber-Verstöße zu verbessern. Bestehende Corporate-Governance-, Risiko- und Compliance-Richtlinien und -Verfahren (GRC) werden nicht ausreichen, um diese Regeln zu erfüllen.
Alla Valente, Senior Analyst bei Forrester, charakterisiert die vorgeschlagenen Änderungen der SEC-Verordnung als „Sarbanes-Oxley light“. Die vorgeschlagenen Regeln besagen, dass Unternehmen Bericht erstatten müssen Ihres Materials Cybersicherheitsvorfälle innerhalb von vier Tagen nach der Identifizierung, stellt sie fest. Das Problem besteht darin, dass „Material“ nicht definiert ist und je nach Branche unterschiedlich ist, sodass Unternehmen raten müssen, wann die Uhr beginnt, Vorfälle zu melden. Dies könnte sowohl zu einer Über- als auch zu einer Unterberichterstattung von Cybervorfällen führen, sagt sie.
Druck treibt Cybersicherheitsmaßnahmen voran
Die Einhaltung der vorgeschlagenen Regeln könnte sich auch direkt auf die Fähigkeit eines Unternehmens auswirken, eine Cyberversicherung abzuschließen, stellt Valente fest. Trotz der Strömung Chaos im Cyber-Versicherungsmarkt Dies treibt die Preise in die Höhe und die Deckung nach unten, während Cyberversicherer ihre Bestände reduzieren. Diese Regeländerungen können den Druck auf Unternehmen möglicherweise weiter erhöhen, Cybersicherheitskontrollen zu implementieren, die sie sonst möglicherweise zu diesem Zeitpunkt nicht eingeführt hätten. Es würde auch viel mehr Informationen über frühere Verstöße und deren Management und Minderung erfordern.
„Die neue Rolle des Managements bei der Berichterstattung und Cyber-Governance und die neue Verantwortung der Vorstände, ihre Expertise und Aufsicht zu beleuchten, werden zu einer zusätzlichen Prüfung von Sicherheitsprogrammen für Unternehmen führen“, sagt Jason Hicks, Field CISO bei der Beratungsfirma für Cybersicherheit Coalfire.
„Das bringt den CISO auf den heißen Stuhl“, fährt er fort. „Es wird wahrscheinlich auch dazu führen, dass Vorstände versuchen, Führungskräfte mit Cybersicherheitserfahrung in ihr Team aufzunehmen. Angesichts der geringen Anzahl verfügbarer qualifizierter Personen könnte ich mir auch vorstellen, dass Vorstände ihre eigenen Berater einstellen, um sie über Cybersicherheitsrisiken und die Angemessenheit des Sicherheitsprogramms des Unternehmens zu beraten.
„All diese Bereiche müssen in den Governance-Teil Ihres ESG-Ansatzes einbezogen werden“, fügt Hicks hinzu. „Das Management ist bereits für das Management von Cybersicherheitsrisiken verantwortlich, daher entsteht dadurch keine völlig neue Verantwortungsklasse, obwohl es einige Änderungen an der Belastung und Komplexität vornimmt.“
Transnationale Unternehmen ergreifen die Initiative
Hicks merkt an, dass die Art und Weise, wie Unternehmen Transparenz sehen, und die kulturellen Normen der Betriebsumgebung eines Unternehmens ihre Reaktion beeinflussen können. „Die multinationalen Unternehmen müssen ihren Ansatz angesichts der unterschiedlichen Ansätze weltweit ausbalancieren.“
Valentin stimmt zu. Europäer wehren sich tendenziell proaktiver gegen Datenschutzverletzungen als amerikanische Unternehmen. Die Regeländerung könnte inländische Organisationen dazu zwingen, proaktiver zu sein, insbesondere wenn es um das Risikomanagement durch Dritte geht, eine wichtige Sicherheitskontrolle.
„Sobald dies endgültig ist, werden wir uns bemühen, proaktiv zu sein. Einige [Organisationen] werden sich buchstabengetreu an das Gesetz halten und vielleicht kurzfristig erfolgreich sein, wenn auch nur marginal“, sagt Valente. „Andere werden dem Geist des Gesetzes folgen und dies als Mittel nutzen, um dieses proaktive Risikomanagement [von Drittanbietern] zu verbessern, zu diversifizieren und zu einem Teil ihrer Identität zu machen. Es wird in ihrer Unternehmens-DNA verwurzelt sein. Das sind die Organisationen, die davon wirklich profitieren werden.“
Unternehmen können loslegen
Steven Yadegari, CEO der Anlageberatungsfirma FiSolve und ehemaliger General Counsel der Anwaltskanzlei Cramer Rosenthal McGlynn, sagt, dass die Vorstandsmitglieder nach spezifischen Berichten zur Cybersicherheit suchen werden. Dazu gehören vierteljährliche Berichte mit Schwerpunkt auf Cybersicherheit und Treffen mit Personen, die mit der Aufsicht über den Bereich beauftragt sind, wie z. B. dem CISO, der die Bemühungen leitet.
„Die neuen Regeln würden formelle Risikobewertungen, spezifische Kontrollen, Überwachungsmaßnahmen und ein Meldesystem für Vorfälle erfordern. Soweit einige dieser Bereiche in bestehenden Programmen nicht behandelt werden, möchten Vorstände verstehen, wie Manager diese potenziellen Anforderungen zu erfüllen beabsichtigen. Diese Gespräche sollten im Gange sein und nicht auf die Verabschiedung neuer Regeln warten“, sagt Yadegari.
Viele Unternehmen verwalten ihre Lieferanten heute sorgfältiger und überwachen ihre Richtlinien und Verfahren, stellt er fest. Dies gilt insbesondere für externe Dienstleister und Lieferanten, die Kontakt mit sensiblen Informationen eines Unternehmens haben könnten.
„Unternehmen müssen sicherstellen, dass sie über ein robustes Cybersicherheitsprogramm und ein Drittanbieter-Risikomanagementprogramm (TPRM) verfügen, das wiederum Unternehmen, die sich auf ihre Dienste verlassen, Komfort bietet“, sagt Yadegari.
Während die endgültige Sprache der vorgeschlagenen Änderungen der SEC-Regeln noch veröffentlicht werden muss, kann die vorgeschlagene Sprache gefunden werden hier.
