Öffentliche Unternehmen müssen Datenschutzverletzungen nun innerhalb von 4 Tagen melden

US-Unternehmen können keine stillen und verspäteten Informationen über Datenschutzverletzungen mehr veröffentlichen.

Die Securities and Exchange Commission hat gestern neue Regeln veröffentlicht, die US-Unternehmen dazu verpflichten, Datenschutzverletzungen und andere Cybersicherheitsvorfälle innerhalb von vier Tagen zu melden.

„Ob ein Unternehmen eine Fabrik bei einem Brand verliert – oder Millionen von Dateien bei einem Cybersicherheitsvorfall –, kann für Investoren von Bedeutung sein“, sagte SEC-Vorsitzender Gary Gensler in einer Pressemitteilung. „Derzeit stellen viele börsennotierte Unternehmen Investoren Offenlegungen zur Cybersicherheit zur Verfügung. Ich denke jedoch, dass Unternehmen und Investoren gleichermaßen davon profitieren würden, wenn diese Offenlegung auf einheitlichere, vergleichbarere und entscheidungsnützlichere Weise erfolgen würde. Dadurch wird sichergestellt, dass Unternehmen wesentliche Cybersicherheit offenlegen.“ Informationen: Die heutigen Regeln werden Anlegern, Unternehmen und den sie verbindenden Märkten zugute kommen.“

SIEHE AUCH: Schützen Sie sich vor Datenlecks und -verstößen
Im Urteil der SEC heißt es weiter, dass die Vier-Tage-Regel verschoben werden kann, wenn der US-Generalstaatsanwalt entscheidet, dass die Weitergabe des Cybersicherheitsvorfalls „ein erhebliches Risiko für die nationale oder öffentliche Sicherheit darstellen würde“.
Diese Entscheidung, die laut Associated Press mit 3 zu 2 Stimmen innerhalb der Partei angenommen wurde, ist keine völlige Überraschung. Wie 9to5Mac berichtete, müssen Unternehmen in Europa Datenschutzverletzungen innerhalb von drei Tagen melden. Und echte SEC-Chefs werden sich daran erinnern, dass die neuen Regeln ursprünglich vor einem Jahr, im März 2022, vorgeschlagen wurden, als die SEC einen Anstieg des Cybersicherheitsrisikos feststellte, da so viele US-Unternehmen damit begannen, ihren Mitarbeitern die Arbeit von zu Hause aus zu ermöglichen. Derzeit teilen US-Unternehmen ihren Kunden oft erst Monate nach dem Hackerangriff mit, dass ihr Unternehmen gehackt wurde – schauen Sie sich nur an, wie T-Mobile und Twitter mit ihren jüngsten Datenschutzverletzungen umgegangen sind.