Die US-amerikanische Börsenaufsicht Securities and Exchange Commission (SEC) will Unternehmen dazu rechtlich verpflichten, Cyberangriffe innert vier Tagen den Behörden zu melden, so ein
Bericht des "Wall Street Journal" (Paywall). Der jetzt veröffentlichte
Vorschlag betrifft ausschliesslich öffentlich gehandelte Unternehmen und geht deutlich über die heutige Regelung hinaus, wonach die Behörden lediglich bei Ransomware-Angriffen und substantiellen Datendiebstählen informiert werden müssen.
Konkret sollen Unternehmen verpflichtet werden, im Fall eines Cyberangriffs folgende Informationen offenzulegen:
• Wann der Angriff entdeckt wurde und ob er immer noch am Laufen ist
• Beschreibung der Natur und des Ausmasses des Angriffs
• Ob auf Daten zugegriffen, diese gestohlen, geändert oder für nicht autorisierte Zwecke genutzt wurden
• Die Auswirkungen auf die Geschäftstätigkeit
• Ob der Schaden behoben werden konnte
Die genannten Informationen sollen Aktionäre und Marktanalysten in die Lage versetzen, die finanziellen und operationellen Auswirkungen eines Cyberangriffs auf die Geschäftstätigkeit des Unternehmens richtig einzuschätzen.
Der Vorschlag der SEC ist allerdings nicht unumstritten. Gegner befürchten, Unternehmen wären gezwungen, zumindest Teile ihres Abwehrdispositives offenzulegen. Die interessierten Parteien haben in den kommenden 60 Tagen Zeit, um zum SEC-Vorschlag Stellung zu beziehen.
(rd)