Bankengruppen fordern von SEC: Offenlegungsregeln für Cybersecurity-Vorfälle streichen
Inhaltsverzeichnis
Amerikanische Banken- und Finanzindustrieverbände haben bei der Securities and Exchange Commission (SEC) eine Petition eingereicht, um die Offenlegungspflicht für Cybersecurity-Vorfälle aufzuheben.
Fünf US-amerikanische Bankengruppen unter der Führung der American Bankers Association haben die Regulierungsbehörde in einem Schreiben vom 22. Mai aufgefordert, ihre Regelung aufzuheben, da die Offenlegung von Cybersicherheitsvorfällen in direktem Widerspruch zur vertraulichen Meldepflicht steht, die dem Schutz kritischer Infrastrukturen und der Warnung potenzieller Opfer dienen.
Die Gruppe, zu der auch die Securities Industry and Financial Markets Association, das Bank Policy Institute, Independent Community Bankers of America und das Institute of International Bankers gehörten, behauptete, dass die Regelung die Bemühungen der Regulierungsbehörden zur Verbesserung der nationalen Cybersicherheit gefährde.
Die im Juli 2023 veröffentlichte SEC-Vorschrift zum Cybersecurity-Risikomanagement verlangt von den Unternehmen eine rasche Offenlegung von Cybersecurity-Vorfällen wie Datenschutzverletzungen oder Hacks. Die Bankengruppen argumentieren jedoch, dass diese Regel von Anfang an fehlerhaft gewesen sei und sich in der Praxis seit ihrem Inkrafttreten als problematisch erwiesen habe.
Die Bankenverbände erklärten, dass der „komplexe und enge Mechanismus zur Verzögerung der Offenlegung“ die Reaktion auf Vorfälle und die Strafverfolgung behindere und zu einer „Marktverwirrung“ zwischen obligatorischen und freiwilligen Offenlegungen führe.
Eine solche Offenlegung sei von Kriminellen für Erpressungsversuche genutzt worden und verschlechtere die Versicherungs- und Haftungsbedingungen für Unternehmen. Zudem bringe das die Gefahr mit sich, dass die „offene interne Kommunikation und der routinemäßige Informationsaustausch gestört werden“, so die Gruppe.
Die Gruppe fordert konkret die Streichung des Punktes 1.05 aus den SEC-Vorschriften für Meldungen nach Formular 8-K und Formular 6-K.
Das Formular 8-K wird verwendet, um Anleger von US-Aktiengesellschaften über bestimmte Ereignisse, einschließlich Cybersicherheitsvorfälle, zu informieren, die für Aktionäre oder die SEC von Bedeutung sein können.
„Entscheidend ist, dass die Interessen der Anleger auch ohne Punkt 1.05 geschützt werden, und wir glauben, dass ihnen durch den bereits bestehenden Offenlegungsrahmen für Meldungen über wesentliche Informationen, zu denen auch größere Cybersicherheitsvorfälle gehören können, besser gedient wäre“, so die Gruppen.
Die Petition enthielt auch Beispiele für die Verwirrung der Teilnehmer, konkrete Vorfälle von Ransomware-Angriffen und dokumentierte Konflikte mit Rechtsvorschriften.
Börsennotierte Kryptounternehmen betroffen
Die Vorschrift betrifft auch börsennotierte Kryptounternehmen wie Coinbase, das Anfang des Monats bekannt gab, dass Hacker seine Support-Mitarbeiter bestochen hatten, um an die Daten seiner Nutzer zu gelangen.
Gegen das Unternehmen wurden daraufhin mindestens sieben Klagen eingereicht.
Coinbase lehnte eine Lösegeldforderung in Höhe von 20 Millionen US-Dollar ab, nachdem Mitarbeiter bei einem groß angelegten Phishing-Angriff Nutzerdaten ausspähten, was die Börse nach eigenen Angaben bis zu 400 Millionen US-Dollar kosten könnte.
Wenn die SEC die Anforderung aufhebt, könnte dies Unternehmen wie Coinbase mehr Zeit geben, bevor sie Cybersecurity-Vorfälle der Öffentlichkeit mitteilen müssen.
Wenn Ihnen der Artikel gefallen hat, vergessen Sie nicht, ihn mit Ihren Freunden zu teilen. Folgen Sie uns auch in Google News, klicken Sie auf den Stern und wählen Sie uns aus Ihren Favoriten aus.
Wenn Sie weitere Nachrichten lesen möchten, können Sie unsere Allgemeines besuchen.