SEC und Cybersecurity: Die neuen Offenlegungspflichten, die die Rolle des CISO verändert haben
Die SEC-Regeln zur Offenlegung von Cybervorfällen, die seit Dezember 2023 gelten, verlangen die Meldung von wesentlichen Vorfällen innerhalb von bis zu vier Werktagen über das Formular 8-K. Im Mai 2025 haben amerikanische Bankverbände die SEC gebeten, die Regel aufzuheben. Das praktische Ergebnis: Der CISO wurde zum direkten Ansprechpartner des Vorstands und der Rechtsabteilung bei Entscheidungen zur Wesentlichkeit.
Am 26. Juli 2023 verabschiedete die SEC endgültige Vorschriften zur Verwaltung von Cyberrisiken, Strategien, Governance und zur Offenlegung von Vorfällen durch börsennotierte Unternehmen. Die Regeln traten für die meisten Anbieter Mitte Dezember 2023 in Kraft. Die Auswirkungen auf die Rolle des CISO waren sofort und strukturell.
Die zentrale Verpflichtung: Jeder Cybervorfall, den das Unternehmen als wesentlich einstuft, muss über Punkt 1.05 des Formulars 8-K offengelegt werden, in der Regel innerhalb von vier Werktagen nach der Feststellung der Wesentlichkeit. Die Offenlegung muss die Art, den Umfang und den Zeitpunkt des Vorfalls sowie seine tatsächlichen oder wahrscheinlich zu erwartenden Auswirkungen beschreiben.
Was sich in der Praxis geändert hat
Vor den Vorschriften war ein Sicherheitsvorfall hauptsächlich eine operative und IT-Angelegenheit. Nach den Vorschriften wurde er gleichzeitig zu einer rechtlichen, regulatorischen und Investor Relations-Angelegenheit. Der CISO, der historisch gesehen an den CIO oder COO berichtete, hat nun eine direkte Schnittstelle zum Vorstand, zum CEO und zur Rechtsabteilung bei jedem relevanten Vorfall.
Die entscheidende Frage, die den Prozess definiert, lautet: Ist dieser Vorfall wesentlich? Wesentlichkeit im Kontext der SEC bedeutet, ob der Vorfall die Entscheidung eines Investors, Aktien zu kaufen oder zu verkaufen, vernünftigerweise beeinflussen könnte. Dies ist eine rechtliche, keine technische Bewertung. Und sie muss innerhalb von Stunden, nicht Tagen erfolgen.
Die jährliche Offenlegung der Governance
Zusätzlich zur Berichterstattung über Vorfälle haben die Vorschriften Punkt 106 zur Regulierung S-K hinzugefügt, der eine jährliche Offenlegung verlangt über: Prozesse zur Bewertung, Identifizierung und Verwaltung von Cyberrisiken; die Aufsicht des Vorstands über diese Risiken; und Fachwissen im Bereich Cybersecurity bei den Mitgliedern des Vorstands oder konsultierten Beratern.
Diese letzte Anforderung hat den Arbeitsmarkt am stärksten bewegt: In den Jahren 2024 und 2025 gab es einen deutlichen Anstieg bei der Einstellung unabhängiger Direktoren mit Hintergrund im Bereich Sicherheit für die Vorstände von börsennotierten Unternehmen.
Der Widerstand des Finanzsektors
Am 22. Mai 2025 petitionierte eine Gruppe amerikanischer Bankverbände, darunter die American Bankers Association und das Bank Policy Institute, die SEC, um die Regel zur Berichterstattung über Vorfälle innerhalb von vier Tagen aufzuheben. Das zentrale Argument: die schnelle öffentliche Offenlegung von laufenden Vorfällen könnte Angreifern zugutekommen, die sich noch innerhalb der Systeme des Unternehmens befinden, und darüber hinaus unverhältnismäßige Marktrisiken schaffen, bevor die vollständigen Fakten bekannt sind.
Die SEC hat auf die Petition bisher noch nicht formell reagiert. Für börsennotierte Unternehmen bleibt die Regel in Kraft, während die regulatorische Debatte andauert.
Die Implikation für CISOs
Derjenige, der die Position des CISO in einem börsennotierten Unternehmen im Jahr 2026 innehat, benötigt Fähigkeiten, die Kommunikation auf Führungsebene, Verständnis für rechtliche Wesentlichkeit und die Fähigkeit, technische Ereignisse in Risikosprache für den Vorstand zu übersetzen, einschließen, nicht nur technische Sicherheitsfähigkeiten. Der Markt für Executive Search berichtet von einer wachsenden Nachfrage nach CISOs mit vorheriger Erfahrung in regulatorischer Compliance oder in Investor Relations.