USA: Unternehmen sollen Sicherheitsvorfälle in vier Tagen melden

Die US-Börsenaufsicht SEC plant, dass Unternehmen nach einem Datenschutz- oder IT-Sicherheitsvorfall die Öffentlichkeit zeitnah informieren müssen.

Artikel veröffentlicht am ,
Cybersicherheitsvorfälle könnten in den USA künftig meldepflichtig sein.
Cybersicherheitsvorfälle könnten in den USA künftig meldepflichtig sein. (Bild: Elchinator/Pixabay)

Nach Plänen der US-Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) sollen Unternehmen in den USA künftig größere Datenschutz- und IT-Sicherheitsvorfälle binnen vier Tagen melden müssen. Ein entsprechender Vorschlag der Behörde könnte nach dem Erhalten und Analysieren von Rückmeldungen aus der Öffentlichkeit verabschiedet werden, berichtet das Wirtschaftsmagazin Wall Street Journal (Paywall).

"Vorfälle im Bereich der Cybersicherheit kommen leider häufig vor", sagte der SEC-Vorsitzende Gary Gensler und wies darauf hin, dass erfolgreiche Angriffe die Finanzen, den Betrieb und den Ruf von Unternehmen beeinträchtigen. "Daher suchen Investoren zunehmend nach Informationen über Cybersicherheitsrisiken, die ihre Investitionsentscheidungen und Renditen beeinflussen können."

Zwar sind börsennotierte Unternehmen in den USA seit langem dazu verpflichtet, Informationen über Risiken und Vorfälle zu veröffentlichen, die sie als wesentlich für Investoren erachten. Die SEC hatte in den vergangenen Jahren mehrfach darauf hingewiesen, dass dies auch IT-Sicherheitsvorfälle umfasst. Das Wall Street Journal verweist jedoch auf eine Analyse aus dem Jahr 2018, nach welcher 90 Prozent der IT-Sicherheitsvorfälle bei börsennotierten Unternehmen nicht bekanntgegeben wurden.

Auch kleinere Vorfälle müssten veröffentlicht werden

Neben dem Melden größerer Datenschutz- und IT-Sicherheitsvorfälle wären die Unternehmen auch dazu verpflichtet, über frühere Vorfälle zu berichten. Demnach müsste auch Bericht erstattet werden, wenn "eine Reihe von zuvor nicht bekanntgegebenen, einzeln unwesentlichen Cybersicherheitsvorfällen in ihrer Gesamtheit wesentlich geworden ist".

In den Jahresberichten der börsennotierten Unternehmen müssten zudem die Richtlinien enthalten sein, nach denen IT-Sicherheitsrisiken identifiziert und gemanagt werden. Zudem müsste eine Erklärung darüber vorliegen, ob Mitglieder des Vorstand über Fachwissen im Bereich IT-Sicherheit verfügt. Auch für kritische Infrastruktur (Kritis) ist eine Meldepflicht von Sicherheitsvorfällen geplant. Der US-Senat hat ein entsprechendes Gesetz bereits einstimmig verabschiedet, nun muss noch das Repräsentantenhaus zustimmen.

Auch in Deutschland existiert bisher keine einheitliche Meldepflicht für IT-Sicherheitsvorfälle. Zwar müssen Sicherheitsvorfälle im Bereich der Kritis an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, allerdings nur, wenn die jeweiligen Betriebe oder Organisationen bestimmte Schwellenwerte überschreiten.

So sind viele kleine Wasser- oder Abwasserversorger nicht meldepflichtig. Entsprechend einfach war es 2018, Steuerungen solcher Betriebe offen im Internet zu finden. Die Berliner Verkehrsbetriebe (BVG) und das BSI führten gar einen Rechtsstreit über die Anzahl der beförderten Passagiere und die damit einhergehende Einstufung als Kritis, was wiederum höhere Sicherheitsauflagen bedeuten würde.

Neben Kritis sind auch digitale Dienste wie Online-Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze meldepflichtig, sofern ein Sicherheitsvorfall "erhebliche Auswirkungen auf die Bereitstellung digitaler Dienste hat, die innerhalb der Europäischen Union erbracht werden". Zudem müssen Datenschutzverletzungen nach der Datenschutzgrundverordnung (DSGVO) an die entsprechende Datenschutzbehörden gemeldet werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Akkutechnik
4695-Akku schafft 40 Prozent mehr Reichweite als Tesla

Mit herkömmlichen Fertigungsmethoden und nur 15 mm mehr Höhe baut Akkuhersteller EVE Zellen für BMW, die Teslas 4680 weit überlegen sind.

Akkutechnik: 4695-Akku schafft 40 Prozent mehr Reichweite als Tesla
Artikel
  1. Cloudgaming: Amazon bietet Cloudgaming ab sofort in Deutschland an
    Cloudgaming
    Amazon bietet Cloudgaming ab sofort in Deutschland an

    Nach einjähriger Testphase können Amazon-Prime-Kunden nun auch hierzulande Spiele streamen. Der optionale Luna-Controller kostet 69,99 Euro.

  2. Philips Hue bei Amazon mit über 100 Euro Rabatt im Angebot
     
    Philips Hue bei Amazon mit über 100 Euro Rabatt im Angebot

    Die Umrüstung auf Smart Home ist aktuell besonders günstig. Bei Amazon sind Produkte von Philips Hue im Angebot und zu niedrigen Preisen erhältlich.
    Ausgewählte Angebote des E-Commerce-Teams

  3. I'm Back 35 im Test: Neues digitales Leben für analoge Kameras
    I'm Back 35 im Test
    Neues digitales Leben für analoge Kameras

    Mit I'm Back können wir unsere alte Canon-Kamera digital nutzen. Schöne Bilder macht das System nicht von alleine - der Bearbeitungsaufwand lohnt sich aber.
    Ein Test von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Heute besonders viele MindStar-Tagesdeals • Gigabyte RTX 4070 Ti 880,56€ • Crucial SSD 2TB (PS5) 162,90€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • Amazon Coupon-Party [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /