Foreign Filers / Private Issuers aufgepasst!
2023 brachte eine weitere Harmonisierung europäischer
und US-Standards beim Cyber Incident Reporting.

Nach dem SEC Ruling sind nun alle an der US-Börse gelisteten Unternehmen verpflichtet, bedeutende Datensicherheitsvorfälle innerhalb von vier Werktagen öffentlich bei der SEC zu melden. Darüber hinaus müssen sie in ihrem Jahresbericht (10-K) ihre Verfahren zur Erkennung und Bewältigung wesentlicher Cybersecurity-Risiken darlegen, einschließlich der Rolle des Vorstands.

Beachten Sie: Diese Regelung gilt auch für ausländische private Emittenten (z.B. deutsche Firmen, die eine US-Anleihe begeben haben). Sie sind jedoch nur zur Ad-hoc-Meldung (Form 6-K) von Vorfällen verpflichtet, wenn sie in einer anderen Rechtsordnung, z.B. gemäß der Marktmissbrauchsverordnung (Market Abuse Regulation), zur Meldung verpflichtet sind.

Die Erheblichkeit eines Ereignisses wird insbesondere durch die potenziellen finanziellen Konsequenzen bestimmt. Diese Konsequenzen müssen im Bericht dargestellt werden, nicht jedoch, ob der Vorfall noch andauert oder ob Daten beeinträchtigt wurden.

Die US-Gesetzgebung bezüglich der Meldung von Datensicherheitsvorfällen rückt somit zunehmend näher an die europäischen Regelungen heran, was grundsätzlich zu begrüßen ist. Jüngst führte der US Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Meldepflichten für Sicherheitsvorfälle in kritischer Infrastruktur ein, vergleichbar mit den in Deutschland geltenden NIS-Richtlinien und dem BSI-Gesetz. Ein besonderer Aspekt der US-Regelungen ist die Verpflichtung, solche Vorfälle innerhalb von 72 Stunden und Ransomware-Zahlungen sogar innerhalb von 24 Stunden zu melden.

Mit dem neuen SEC-Ruling wird nun eine gesetzliche Pflicht zur Meldung von Cybersicherheitsvorfällen für US-Unternehmen eingeführt, die nicht ausschließlich auf die kritische Infrastruktur beschränkt ist. Diese Regelung betrifft mit Blick auf die wenigen deutschen Foreign Filers sowie Private Issuers in den USA weniger Wirtschaftsteilnehmer als die Meldepflichten nach der DS-GVO sowie zukünftig durch die NIS2-Umsetzungsgesetze, kann jedoch durch die Kapitalmarktrelevanz der Unternehmen erhebliche Folgen haben. Denn es wird nicht eine Meldung begrenzt an eine Aufsichtsbehörde oder bestimmte betroffene Personen gefordert, sondern auch an die (Investor-)Öffentlichkeit.

Vor diesem Hintergrund empfehlen wir die Kostenbausteine zu Meldepflichten Ihrer Cyber-Versicherung zu überprüfen sowie das D&O-Versicherungsprogramm sowohl hinsichtlich des versicherten Personenkreises als auch die Versicherungsbedingungen hinsichtlich Cyber Risiken auf dem aktuellsten Stand zu halten. In vergangenen Due Diligencen Überprüfungen konnten wir diesbezüglich Schwachstellen – begünstigt durch die harten Jahre im US-D&O-Versicherungsmarkt – feststellen. Bei Fragen sprechen Sie uns gerne an. Lesen Sie gerne auch weitere Expertise zur D&O-Versicherung von Foreign Filers auf unserer Website.  

Being Public

Earnings Call: eine 0 zu viel – der Lyft-CEO-Fehler

Look, it was a bad error, and that’s on me,” CEO von LYFT Inc. Der Vorfall und möglicher Versicherungsschutz. Ggf. haben Sie auch von dem jüngsten Vorfall mit LYFT gehört. Im Quartalsearningsreport gab LYFT ursprünglich an, dass die Gewinnmargen um 500 Basispunkte steigen, bevor dies während der Telefonkonferenz auf 50 Basispunkte korrigiert wurde. Dieser Schreibfehler führte dazu, dass der Aktienkurs im nachbörslichen Handel um mehr als 60% stieg. Diese Situation ist genau das, was Investor Relations-Teams, die für das Erstellen

Weiterlesen »
Venture Capital

Wir informieren im VC-Magazin zu Haftungsrisiken bei VC-Fonds

Wir wurden im Dezember vom VC-Magazin gefragt, ob wir Einblicke in Haftungs- und Risikomanagementfragen zu Venture Capital Fonds geben können. Gerne! So hat Florian zusammen mit dem Team nicht nur Einblicke in aktuelle Herausforderungen gegeben, sondern auch praktische Lösungsansätze vorgeschlagen, um Risiken eines VC-Fonds effektiv zu minimieren und sinnvoll zu transferieren. Sie finden daher im Artikel des VC-Magazins: Mehrwerte maßgeschneiderter Versicherungskonzepte für VC-Fonds (Fokus: D&O/E&O-Versicherung #Moonshotprotect), Schlüsselmaßnahmen zur Risikoprävention (Lernkurve aus unserer Schadenwelt), enthaftende Vertragsregelungen als präventive Maßnahme, und weitere

Weiterlesen »
Being Public

Haftung der Geschäftsleiter:innnen digital und wirksam vorbeugen by Risk Partners & Fides Technology

Jetzt auf Vimeo und Soundcloud: bündig von Experten:innen praxisnahe Tipps mit hoherer Relevanz für die Haftungsvermeidung von Geschäftsleiter:innen erhalten. Inhalt: Die persönliche Haftung schwebt als ein ständiges Damoklesschwert im Alltag über Geschäftsleiter:innen. Der Sorgfaltsmaßstab ist streng und die Geschäftsleiter:innen tragen die Beweislast. In Zusammenarbeit mit der profilierten Gesellschaftsrechtlerin Eva Homborg (Esche Schümann Commichau) und der Governance-Expertin Philippa Peters (Fides Technology GmbH) haben wir über Monate praxisnahe Maßnahmen zusammengetragen, wie Sie diese persönlichen Risiken effektiv und digital managen können. Diese konkreten Inhalte zum

Weiterlesen »