Die Ermittlungen zu den Casino-Hacks dauern noch an, aber die 8-K-Filings beider Unternehmen kommen zur rechten Zeit, wenn man bedenkt, dass die SEC im Juli dieses Jahres Regeln für das Cybersecurity-Risk-Management verabschiedet hat, die Mitte Dezember in Kraft treten. Die Vorfälle zeigen, welche Auswirkungen eine 8-K-Einreichung (oder das Fehlen einer rechtzeitigen oder informativen Einreichung) auf ein Unternehmen haben kann. Zusätzlich gibt es auch Auswirkungen auf Krisenkommunikation, die Beziehungen zu den Investoren und mögliche rechtliche Konsequenzen. Man sollte bedenken, dass die SEC-Vorschriften nicht neu sind, aber die Vorschrift, innerhalb von 4 Werktagen zu veröffentlichen, hat doch überrascht und lässt den Unternehmen nicht viel Zeit, sich auf die Situation einzustellen. Im Vorstand und in der Geschäftsleitung werden jetzt viele Gespräche über die Prozesse geführt, die zur Bestimmung der Bedeutung von Cyber-Vorfällen eingerichtet werden müssen. Welche Ereignisse als schwerwiegend genug eingestuft werden, um sie zu veröffentlichen, ist immer noch für Interpretationen offen und die Definition kann sich auch von wesentlichen Vorfällen unterscheiden.
Ohne weitere Leitlinien der SEC ist dies eine Ermessensentscheidung. Es gibt immer mehr Bemühungen wie das FAIR-Materiality-Assessment-Model, um einige der Lücken zu füllen. Manche glauben, dass es zu einer Flut von Berichten mit minimalen Details kommen wird, bei denen öffentliche Unternehmen gerade so viel berichten, dass sie die SEC-Vorschriften einhalten und Rechtsstreitigkeiten, übermäßige Aktienkursschwankungen und/oder eine Beeinträchtigung des Markenrufs vermeiden. Die Branche muss abwarten und sehen, wie sich das Ganze entwickelt.
Info: Mike Isbitski, Director of Cybersecurity Strategy bei Sysdig
Mike Isbitski, Director of Cybersecurity Strategy bei Sysdig, ist ein ehemaliger Gartner-Analyst, Cybersecurity-Führungskraft und Praktiker mit mehr als 25 Jahren Erfahrung, der sich auf Anwendungs-, Cloud- und Container-Sicherheit spezialisiert hat. Mike arbeitete an der IT-Front in den Bereichen Anwendungssicherheit, Schwachstellenmanagement, Unternehmensarchitektur und Systemtechnik und hat weltweit zahllose Organisationen bei ihren Sicherheitsinitiativen zur Unterstützung ihrer Geschäfte beraten.
#Sysdig
