USA: Unternehmen sollen Sicherheitsvorfälle in vier Tagen melden

Die US-Börsenaufsicht SEC plant, dass Unternehmen nach einem Datenschutz- oder IT-Sicherheitsvorfall die Öffentlichkeit zeitnah informieren müssen.

Artikel veröffentlicht am ,
Cybersicherheitsvorfälle könnten in den USA künftig meldepflichtig sein.
Cybersicherheitsvorfälle könnten in den USA künftig meldepflichtig sein. (Bild: Elchinator/Pixabay)

Nach Plänen der US-Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) sollen Unternehmen in den USA künftig größere Datenschutz- und IT-Sicherheitsvorfälle binnen vier Tagen melden müssen. Ein entsprechender Vorschlag der Behörde könnte nach dem Erhalten und Analysieren von Rückmeldungen aus der Öffentlichkeit verabschiedet werden, berichtet das Wirtschaftsmagazin Wall Street Journal (Paywall).

Stellenmarkt
  1. Data Analyst (m/w/d) Engineering Support / Maschinenbau
    NVL B.V. & Co. KG, Bremen, Lemwerder
  2. IT Security Analyst (m/w/d)
    Scheidt & Bachmann GmbH, Mönchengladbach
Detailsuche

"Vorfälle im Bereich der Cybersicherheit kommen leider häufig vor", sagte der SEC-Vorsitzende Gary Gensler und wies darauf hin, dass erfolgreiche Angriffe die Finanzen, den Betrieb und den Ruf von Unternehmen beeinträchtigen. "Daher suchen Investoren zunehmend nach Informationen über Cybersicherheitsrisiken, die ihre Investitionsentscheidungen und Renditen beeinflussen können."

Zwar sind börsennotierte Unternehmen in den USA seit langem dazu verpflichtet, Informationen über Risiken und Vorfälle zu veröffentlichen, die sie als wesentlich für Investoren erachten. Die SEC hatte in den vergangenen Jahren mehrfach darauf hingewiesen, dass dies auch IT-Sicherheitsvorfälle umfasst. Das Wall Street Journal verweist jedoch auf eine Analyse aus dem Jahr 2018, nach welcher 90 Prozent der IT-Sicherheitsvorfälle bei börsennotierten Unternehmen nicht bekanntgegeben wurden.

Auch kleinere Vorfälle müssten veröffentlicht werden

Neben dem Melden größerer Datenschutz- und IT-Sicherheitsvorfälle wären die Unternehmen auch dazu verpflichtet, über frühere Vorfälle zu berichten. Demnach müsste auch Bericht erstattet werden, wenn "eine Reihe von zuvor nicht bekanntgegebenen, einzeln unwesentlichen Cybersicherheitsvorfällen in ihrer Gesamtheit wesentlich geworden ist".

Golem Karrierewelt
  1. LPI DevOps Tools Engineer – Prüfungsvorbereitung: virtueller Zwei-Tage-Workshop
    21./22.07.2022, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

In den Jahresberichten der börsennotierten Unternehmen müssten zudem die Richtlinien enthalten sein, nach denen IT-Sicherheitsrisiken identifiziert und gemanagt werden. Zudem müsste eine Erklärung darüber vorliegen, ob Mitglieder des Vorstand über Fachwissen im Bereich IT-Sicherheit verfügt. Auch für kritische Infrastruktur (Kritis) ist eine Meldepflicht von Sicherheitsvorfällen geplant. Der US-Senat hat ein entsprechendes Gesetz bereits einstimmig verabschiedet, nun muss noch das Repräsentantenhaus zustimmen.

Auch in Deutschland existiert bisher keine einheitliche Meldepflicht für IT-Sicherheitsvorfälle. Zwar müssen Sicherheitsvorfälle im Bereich der Kritis an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, allerdings nur, wenn die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten.

So sind viele kleine Wasser- oder Abwasserversorger nicht meldepflichtig. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden. Die Berliner Verkehrsbetriebe (BVG) und das BSI führten gar einen Rechtsstreit über die Anzahl der beförderten Passagiere und die damit einhergehende Einstufung als Kritis, was wiederum höhere Sicherheitsauflagen bedeuten würde.

Neben Kritis sind auch digitale Dienste wie Online-Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze meldepflichtig, sofern ein Sicherheitsvorfall "erhebliche Auswirkungen auf die Bereitstellung digitaler Dienste hat, die innerhalb der Europäischen Union erbracht werden". Zudem müssen Datenschutzverletzungen nach der Datenschutzgrundverordnung (DSGVO) an die entsprechende Datenschutzbehörden gemeldet werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /