Was CISOs über Wesentlichkeit wissen müssen
Neue Vorschriften für börsennotierte Unternehmen verlangen von den Sicherheitsteams, dass sie bei der Meldung von Cyber-Vorfällen die Wesentlichkeit berücksichtigen. Erfahren Sie, was Wesentlichkeit bedeutet, damit Sie die Vorschriften einhalten können.
Wichtige Punkte
- Das Konzept der Wesentlichkeit basiert darauf, ob die Informationen für den Entscheidungsprozess eines vernünftigen Nutzers relevant sind.
- Wesentlichkeit ist eine Frage der Beurteilung und kann quantitativ oder qualitativ sein.
- Neue SEC-Vorschriften verlangen von CISOs, dass sie die Wesentlichkeit von Cybersicherheitsvorfällen verstehen und anwenden.
Wesentlichkeit ist ein wichtiger Rechnungslegungsgrundsatz, der dank einer neuen Vorschrift der US-Börsenaufsichtsbehörde (SEC) auch für die Cybersicherheit relevant geworden ist[1]. Die Verordnung zielt darauf ab, die Art und Weise zu beschleunigen und zu standardisieren, in der börsennotierte Unternehmen über Cyber-Vorfälle und ihre Prozesse zu deren Vermeidung berichten. Sie tritt für die meisten börsennotierten Unternehmen im Dezember 2023 in Kraft. Daher ist es wichtig, dass die Sicherheitsteams das Konzept der Wesentlichkeit schnell in ihr tägliches Denken einbeziehen. Wie bei vielen dieser Vorschriften für öffentliche Unternehmen ist es außerdem wahrscheinlich, dass die wichtigsten Interessengruppen beginnen werden, kleinere Privatunternehmen an die gleichen oder ähnliche Standards zu binden.
Die neuen Regeln der SEC für Cybersecurity-Risikomanagement und Offenlegung von Vorfällen
Die neuen Regeln der SEC lassen sich in zwei Teile gliedern, die beide das Konzept der Wesentlichkeit beinhalten. Der erste Teil sieht vor, dass Unternehmen wesentliche Cyber-Vorfälle innerhalb von vier Tagen nach ihrer Identifizierung auf dem SEC-Formular 8-K (das nur bei Bedarf für die Meldung wesentlicher Ereignisse verwendet wird) bekannt geben müssen. Der zweite Teil fügt mehrere Anforderungen an die jährlichen 10-K-Berichte eines Unternehmens hinzu, einschließlich Cybersecurity-Risikomanagement, Strategie und Governance. Ein wichtiger Bestandteil dieser Anforderungen ist eine Beschreibung der Verfahren, die das Unternehmen zur Ermittlung und Bewertung wesentlicher Cyber-Vorfälle eingeführt hat.
Was ist Wesentlichkeit?
Was genau ist also Wesentlichkeit? Die Wesentlichkeit ist eine Bewertung, ob bestimmte Informationen - ein Betrag, eine Transaktion oder ein Fehler/eine Abweichung - wichtig genug sind , um Entscheidungen zu beeinflussen, die jemand (z. B. ein Investor oder ein Kreditgeber) auf der Grundlage des Jahresabschlusses des Unternehmens treffen könnte. Es handelt sich um ein grundlegendes Rechnungslegungsprinzip, das in vielen Standards verschiedener Rechnungslegungsgremien behandelt wird. Da es jedoch keine festen Regeln gibt, erfordert die Bestimmung, welche Transaktionen oder Unternehmensinformationen wesentlich sind, Urteilsvermögen und ist von der jeweiligen Situation abhängig.
Eine Information gilt als wesentlich, wenn ihr Fehler oder ihre Auslassung den Entscheidungsprozess eines "vernünftigen Nutzers" beeinflussen würde. Umgekehrt werden Punkte, die zu klein oder unwichtig sind, um einen Unterschied zu machen, als unwesentlich betrachtet. Der Lackmustest für die Wesentlichkeit ist, ob etwas für die Leser von Finanzinformationen relevant ist, und nicht ein bestimmter Wert oder eine Definition. Der U.S. Supreme Court hat dies in mehreren SEC-bezogenen Entscheidungen bestätigt[2].
Die Wesentlichkeit sollte sowohl in quantitativer als auch in qualitativer Hinsicht bewertet werden. Die quantitative Wesentlichkeit bezieht sich auf den Wert eines Postens oder einer Transaktion. Der Umfang einer Transaktion im Verhältnis zur Größe eines Unternehmens kann ausreichen, um sie als wesentlich einzustufen. Wenn zum Beispiel ein Unternehmen mit einem Jahresumsatz von 500.000 Dollar einen neuen Kredit in Höhe von einer Million Dollar aufnimmt, wäre dies von Bedeutung. Wenn dasselbe Unternehmen einen 200-Dollar-Bildschirm kauft, ist das wahrscheinlich unerheblich. Qualitative Wesentlichkeit bezieht sich auf die Art eines Gegenstands, unabhängig von seinem Wert. In diesem Fall könnte das bloße Vorhandensein, die falsche Angabe oder die Auslassung der Transaktion die Entscheidungen eines vernünftigen Nutzers beeinflussen. Beispiele hierfür sind Betrug und illegale Transaktionen jeglicher Art sowie Fehler oder Auslassungen, die sich auf die Einhaltung von Vorschriften, Kreditvereinbarungen oder die Vergütung des Managements auswirken.
Wesentlichkeit kann auf Informationen zutreffen, die nicht ordnungsgemäß offengelegt oder ausgelassen wurden (wenn die ausgeschlossenen Informationen die Entscheidungen eines vernünftigen Nutzers beeinflussen würden). Wenn dasselbe Unternehmen mit 500.000 Dollar den Kredit mit 990.000 Dollar statt mit 1 Million Dollar verbucht, ist der Fehler wahrscheinlich unerheblich. Das Versäumnis des Unternehmens, den Kredit zu verbuchen, wäre jedoch eine wesentliche Unterlassung.
Die oben genannten Beispiele sollen das Konzept veranschaulichen. In der Realität erfordert die Bestimmung der unternehmensspezifischen Wesentlichkeitsschwellen Umsicht und sorgfältige Überlegungen. Die Größe des Unternehmens, die Branche und die Art der Transaktion sind allesamt wichtige Variablen. Was in einem Unternehmen wesentlich ist, kann in einem anderen unwesentlich sein. Selbst innerhalb desselben Unternehmens können sich die Wesentlichkeitsfilter im Laufe der Zeit ändern, wenn das Unternehmen wächst und seine Produkte oder Eigentümerstruktur ändert.
Wie CISOs Wesentlichkeit anwenden können, um konform zu bleiben
Bei börsennotierten Unternehmen ist der typische "vernünftige Nutzer" jemand, der entscheidet, ob er ihre Aktien oder öffentlichen Schuldtitel kaufen, halten oder veräußern will. Wesentliche Informationen, wie z. B. eine Verletzung der Cybersicherheit, können sich auf die Meinung der Anleger über die aktuellen und künftigen finanziellen Aussichten eines Unternehmens auswirken. Die Beurteilung der Wesentlichkeit von Sicherheitsverletzungen kann also von CISOs finanziellen Scharfsinn erfordern - und viel komplizierter sein als die vorherigen Beispiele.
Einige Vorfälle können beispielsweise ein unmittelbares finanzielles Risiko darstellen, wie z. B. der bei einem Ransomware-Angriff geforderte Preis. Andere könnten sich indirekt wesentlich auf das Unternehmen auswirken, wie z. B. der Verlust der Glaubwürdigkeit durch eine Verletzung der Privatsphäre von Kunden.
Ein Ziel der neuen SEC-Vorschrift ist es, vernünftige Nutzer schneller auf die wesentlichen geschäftlichen Auswirkungen von Cyberverletzungen aufmerksam zu machen, damit sie diese in ihren Entscheidungsprozessen berücksichtigen können. Dies erfordert, dass das gesamte Sicherheitsteam in Abstimmung und Zusammenarbeit mit anderen Bereichen des Unternehmens, insbesondere der Finanzabteilung, einen Wesentlichkeitsfilter auf alle Vorfälle anwendet. Ist dies angesichts der Zeit und der Ressourcen, die für eine vollständige Untersuchung der Auswirkungen einer Sicherheitsverletzung erforderlich sind, überhaupt innerhalb von vier Tagen nach Entdeckung eines Vorfalls möglich? Glücklicherweise hat die SEC vor kurzem klargestellt, dass die viertägige Frist zu laufen beginnt, wenn die Verletzung als wesentlich eingestuft wird, und nicht, wenn sie zum ersten Mal entdeckt wird. Unabhängig davon muss ein Unternehmen jedoch die Parameter dafür festlegen, was es als wesentlich erachtet - und die Verbindungen zwischen Systemen und Daten, die mit wesentlichen Geschäftsprozessen verbunden sind -, bevor es neue Vorfälle meldet, um die Regeln einzuhalten und die Vorfälle zu sortieren.
Darüber hinaus legt die Regel nahe, dass die Wesentlichkeit auch auf Serienvorfälle angewandt werden muss. Dies bedeutet, dass eine zusammenhängende Gruppe von Vorfällen, die in ihrer Gesamtheit wesentlich sind, gemeldet werden muss, auch wenn jeder einzelne Punkt unwesentlich ist. Dazu muss ein Unternehmen in der Lage sein, zusammenhängende Vorfälle zu verknüpfen, entweder nach Angreifer oder nach Schwachstelle.
All dies erfordert, dass das Konzept der Wesentlichkeit in die täglichen Sicherheitsabläufe und -richtlinien integriert wird.
Ein weiteres Ziel der SEC ist es, die Transparenz zu erhöhen, indem sie die Art und Weise standardisiert, in der börsennotierte Unternehmen ihre Richtlinien zur Bewertung und zum Management wesentlicher Cybersicherheitsrisiken beschreiben. Die Standardisierung ist vielschichtig: Alle Unternehmen, die bei der SEC einen Bericht einreichen, müssen dieselben Informationskategorien melden, und jedes Unternehmen muss seine eigenen, wiederholbaren Verfahren zur Bewertung und Berichterstattung über die Wesentlichkeit eines Vorfalls entwickeln. Im Rahmen der Offenlegung des Risikomanagements müssen die Sicherheitsteams erläutern, wie sie potenzielle Risiken im Bereich der Cybersicherheit erkennen und bewerten und welche Verstöße in der Vergangenheit begangen wurden, die sich in der Zukunft wesentlich auf die Finanzlage des Unternehmens auswirken könnten. Dies erfordert eine Vorausplanung, bei der im Voraus festgelegt wird, was das Unternehmen als wesentlich ansieht und nach welchen Regeln es die Wesentlichkeit eines Vorfalls beurteilen würde. Der CISO ist verpflichtet, diese Prozesse zu dokumentieren.
Die in der Verordnung festgelegten Offenlegungspflichten zur Unternehmensführung betonen die Verantwortlichkeiten und die Beteiligung der Unternehmensleitung und des Verwaltungsrats. Dies soll den Anlegern einen Einblick in das Ausmaß der Aufsicht und Verantwortung der Führungskräfte für die Informationssysteme des Unternehmens geben. Da diese Angaben im jährlichen 10-K des Unternehmens zertifiziert werden müssen, muss die gesamte Führungsebene zusammenarbeiten und sich auf den CISO verlassen, um sicherzustellen, dass das Unternehmen die Vorschriften einhält. Die CISOs sind dafür verantwortlich, das Konzept der Wesentlichkeit zu verstehen und ihre Mitarbeiter zu schulen.
Die Quintessenz
Das Konzept der Wesentlichkeit wurde lange Zeit von den Buchhaltungs- und Finanzteams der Unternehmen isoliert behandelt. Die neuen SEC-Vorschriften über die Offenlegung wesentlicher Vorfälle im Bereich der Cybersicherheit machen es erforderlich, dass alle Unternehmensbereiche, insbesondere die CISOs, das Konzept der Wesentlichkeit in Bezug auf die Cybersicherheit verstehen und es in die Gestaltung aller ihrer Prozesse einbeziehen. Lesen Sie mehr über die Governance-, Risiko- und Compliance-Dienste von Mimecast.
[1 ] "SEC verabschiedet Regeln für Cybersecurity-Risikomanagement, -Strategie, -Governance und Offenlegung von Zwischenfällen durch öffentliche Unternehmen", U.S. Securities and Exchange Commission
[2] "Assessing Materiality: Focusing on the Reasonable Investor When Evaluating Errors", U.S. Securities and Exchange Commission
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!