Risk Partners Life Sciences Roundtable 2024. Vielen Dank! Jetzt bereits für den 26.06.2025 anmelden >

Kontakt

Foreign Filers / Private Issuers aufgepasst!
2023 brachte eine weitere Harmonisierung europäischer
und US-Standards beim Cyber Incident Reporting.

Nach dem SEC Ruling sind nun alle an der US-Börse gelisteten Unternehmen verpflichtet, bedeutende Datensicherheitsvorfälle innerhalb von vier Werktagen öffentlich bei der SEC zu melden. Darüber hinaus müssen sie in ihrem Jahresbericht (10-K) ihre Verfahren zur Erkennung und Bewältigung wesentlicher Cybersecurity-Risiken darlegen, einschließlich der Rolle des Vorstands.

Beachten Sie: Diese Regelung gilt auch für ausländische private Emittenten (z.B. deutsche Firmen, die eine US-Anleihe begeben haben). Sie sind jedoch nur zur Ad-hoc-Meldung (Form 6-K) von Vorfällen verpflichtet, wenn sie in einer anderen Rechtsordnung, z.B. gemäß der Marktmissbrauchsverordnung (Market Abuse Regulation), zur Meldung verpflichtet sind.

Die Erheblichkeit eines Ereignisses wird insbesondere durch die potenziellen finanziellen Konsequenzen bestimmt. Diese Konsequenzen müssen im Bericht dargestellt werden, nicht jedoch, ob der Vorfall noch andauert oder ob Daten beeinträchtigt wurden.

Die US-Gesetzgebung bezüglich der Meldung von Datensicherheitsvorfällen rückt somit zunehmend näher an die europäischen Regelungen heran, was grundsätzlich zu begrüßen ist. Jüngst führte der US Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Meldepflichten für Sicherheitsvorfälle in kritischer Infrastruktur ein, vergleichbar mit den in Deutschland geltenden NIS-Richtlinien und dem BSI-Gesetz. Ein besonderer Aspekt der US-Regelungen ist die Verpflichtung, solche Vorfälle innerhalb von 72 Stunden und Ransomware-Zahlungen sogar innerhalb von 24 Stunden zu melden.

Mit dem neuen SEC-Ruling wird nun eine gesetzliche Pflicht zur Meldung von Cybersicherheitsvorfällen für US-Unternehmen eingeführt, die nicht ausschließlich auf die kritische Infrastruktur beschränkt ist. Diese Regelung betrifft mit Blick auf die wenigen deutschen Foreign Filers sowie Private Issuers in den USA weniger Wirtschaftsteilnehmer als die Meldepflichten nach der DS-GVO sowie zukünftig durch die NIS2-Umsetzungsgesetze, kann jedoch durch die Kapitalmarktrelevanz der Unternehmen erhebliche Folgen haben. Denn es wird nicht eine Meldung begrenzt an eine Aufsichtsbehörde oder bestimmte betroffene Personen gefordert, sondern auch an die (Investor-)Öffentlichkeit.

Vor diesem Hintergrund empfehlen wir die Kostenbausteine zu Meldepflichten Ihrer Cyber-Versicherung zu überprüfen sowie das D&O-Versicherungsprogramm sowohl hinsichtlich des versicherten Personenkreises als auch die Versicherungsbedingungen hinsichtlich Cyber Risiken auf dem aktuellsten Stand zu halten. In vergangenen Due Diligencen Überprüfungen konnten wir diesbezüglich Schwachstellen – begünstigt durch die harten Jahre im US-D&O-Versicherungsmarkt – feststellen. Bei Fragen sprechen Sie uns gerne an. Lesen Sie gerne auch weitere Expertise zur D&O-Versicherung von Foreign Filers auf unserer Website.  

Being Public

Prospekthaftung Versicherung (POSI): Risk Partners publiziert für Euch

Risk Partners auf Going Public und dem Kapitalmarktblog zur Prospekthaftung-versicherung In den vergangenen Monaten haben wir unser Fachwissen zur Prospekthaftungsversicherung auf zwei renommierten Plattformen mit einem breiten Publikum teilen dürfen. Hier ein Überblick: Kapitalmarkt.blog Im Beitrag „POSI-Versicherung – Die Schutzweste am Kapitalmarkt“ erklären wir, warum die Prospekthaftungsversicherung ein unverzichtbares Instrument für Unternehmen ist, die am Kapitalmarkt aktiv werden. Der Artikel zeigt praxisnah, wie eine solche Versicherung nicht nur Haftungsrisiken minimiert, sondern auch das Vertrauen von Investoren stärkt. GoingPublic Magazin In

Weiterlesen »
29. Dezember 2024
4 Säulen der Cyber-Versicherung für Venture Capital und Private Equity
Cyber Security

Cyber-Versicherung Venture Capital und Private Equity

Warum die Cyber-Versicherung nicht das Kernrisiko von VC & PE Fonds transferiert und warum wir in Risk Partners Cyber-Rahmenverträge investiert haben. Warum Cyber-Risiken für Venture-Capital- und Private-Equity-Fonds relevant sind Mit dem zunehmenden Wachstum der Cyber-Crime-Industrie (vgl. Bundesamt für Verfassungsschutz) sind auch Venture-Capital- (VC) und Private-Equity-Fonds (PE) bzw. deren Fondsmanager stärker Cyber-Risiken ausgesetzt. Seit Jahren spiegelt sich das bei den Schadenfällen wider, die wir begleiten dürfen, in der Fondsmanager Jahr für Jahr Platz 1 bei den von uns betreuten Branchen einnehmen.

Weiterlesen »
29. Dezember 2024
Cyber Security

„Digital Operational Resilience Act“ (DORA-Verordnung) aus Sicht von Venture Capital und Private Equity Fonds

DORA-Verordnung findet ab Januar 2025 Anwendung. Bedeutung für unsere Private Equity und Venture Capital Mandanten Was etwas sperrig mit dem langen Namen „Digital Operational Resilience Act“ (kurz: DORA) daherkommt, hat einen sehr ernsten Hintergrund und ist dem Grunde nach zu begrüßen. Denn wenn wir unsere Schadenfälle im Kontext von Cyber Crime auswerten, sind PE- und VC-Fonds bzw. deren KVG jene mit der höchsten Schadenhäufigkeit. Es kann gesichert davon ausgegangen werden, dass jene als „lohnende Zielgruppe“ bei im Ausland sitzenden Cyber

Weiterlesen »
27. Dezember 2024