Die steigende Verantwortung der Vorstände im Zeitalter der Cybersicherheit:

Ein Blick auf die neuesten SEC-Richtlinien

Die jüngsten Entscheidungen der US-amerikanischen Börsenaufsicht SEC bezüglich des Risikomanagements, der Strategie, Governance und der Offenlegung von Vorfällen im Bereich der Cybersicherheit deuten darauf hin, dass Vorstandsmitglieder zu einer aktiveren Rolle in den Cyberabteilungen ihrer Organisationen verpflichtet werden. Die gesteigerte Transparenz über die Rolle des Vorstands in Cyberaktivitäten macht diesen nun gegenüber Investoren stärker rechenschaftspflichtig.

Obwohl die SEC vorerst ihren expliziten Vorschlag entfernt hat, dass Cyber-Expertise im Vorstand vorhanden sein muss, generieren die jüngsten Vorschriften dennoch Schwung in Richtung dieser Anforderung. Anstatt US-Unternehmen sofort dieser Forderung zusammen mit allen anderen neuen Vorschriften zu unterwerfen, wird die Aufsichtsbehörde diese spezielle Verpflichtung allmählich einführen. Wir dürfen Aktualisierungen zu ihrer Entscheidung im kommenden Jahr erwarten.

Die EU hat in ihrer NIS2-Richtlinie die unternehmerische Verantwortung klarer definiert und warnt davor, dass Führungskräfte für die Nichteinhaltung der verschärften Cybersicherheitsvorschriften suspendiert werden können. Jüngst warnte der Vorsitzende der Australian Securities and Investments Commission, Joe Longo, Vorstände vor den Strafen, sollten sie keine angemessenen Investitionen in die Cybersicherheit tätigen.

Dieser Ruf nach größerer Haftung der Vorstände wird weltweit weitergehen, da Aufsichtsbehörden die weitreichenden Auswirkungen eines Cyberereignisses auf die Wirtschaft erkennen. Da Forschungen zeigen, dass eine intensivere Zusammenarbeit zwischen Vorständen, Führungskräften der obersten Ebene und Sicherheitsteams zu einer Minimierung der Auswirkungen führt, sollten Organisationen gut beraten sein, gut strukturierte Praktiken für die Cyberrisikogovernance in den Vorstand einzuführen.