Da Cybersecurity-Themen zunehmend oberste Priorität in der Finanzbranche erhalten, zieht die U.S. Securities and Exchange Commission (SEC) nach. Im Mai 2025 hat die SEC einstimmig neue Cybersecurity-Vorschriften verabschiedet, die sicherstellen sollen, dass Broker-Dealer, Investmentberater und Transferagenten über robuste Maßnahmen verfügen – nicht nur zur Erkennung von Datenschutzverletzungen, sondern auch zur Benachrichtigung betroffener Kunden.

Unternehmen, die diesen neuen Regelungen unterliegen, waren bereits verpflichtet, höchste Standards beim Schutz nicht-öffentlicher personenbezogener Daten ihrer Kunden einzuhalten. Angesichts des drastischen Anstiegs von Cyberkriminalität in den letzten Jahren sah die SEC jedoch zusätzlichen Handlungsbedarf. Die Zahl gemeldeter Datenkompromittierungen stieg zwischen 2022 und 2023 von 1.801 auf 3.205 – ein Anstieg von 78 %. Die Zahl der betroffenen Personen belief sich auf fast 350 Millionen, mit einem Gesamtschaden von 4,45 Millionen US-Dollar.

Da die Frist zur Einhaltung der neuen Vorschriften läuft – und weitere Regelungen bereits in Planung sind – ist es entscheidend zu verstehen, welche Maßnahmen betroffene Unternehmen nun ergreifen müssen, um Kundendaten zu schützen und im Falle eines Cybervorfalls transparent zu informieren.

Wichtige Überlegungen

• Die neuen Vorschriften sind Änderungen an der bestehenden Regulation S-P, die seit 2000 gilt und den Schutz von Kundeninformationen durch schriftliche Richtlinien und Verfahren sicherstellen soll.
• Unternehmen müssen nun ein Incident-Response-Programm in ihre Richtlinien aufnehmen, das auf die Erkennung, Reaktion und Eindämmung von Datenschutzverletzungen ausgelegt ist. Eine regelmäßige Überprüfung und Aktualisierung dieses Programms wird empfohlen.
• Die Verfahren müssen einen Plan enthalten zur Bewertung von Art und Umfang eines Cybervorfalls sowie zur Einleitung geeigneter Maßnahmen zur Eindämmung und Kontrolle.
• Eine zentrale Neuerung ist die Pflicht zur Benachrichtigung betroffener Personen, deren sensible Kundeninformationen unbefugt eingesehen oder verwendet wurden – oder bei denen dies mit hoher Wahrscheinlichkeit geschehen ist.
• „Sensible Kundeninformationen“ umfassen nicht nur die Daten direkter Kunden, sondern auch Informationen von Kunden anderer Finanzinstitute, die mit dem betroffenen Unternehmen geteilt wurden. Diese erweiterte Definition gilt auch für die Safeguard- und Disposal-Regeln.
• Unternehmen dürfen externe Dienstleister zur Erfüllung der Benachrichtigungspflicht einsetzen, bleiben jedoch selbst verantwortlich für die Einhaltung der Vorschriften.
• Größere Unternehmen haben eine 18-monatige Frist, kleinere Unternehmen 24 Monate ab Veröffentlichung der Änderungen im Federal Register.

Konformität mit sich wandelnden Cybersecurity-Vorgaben

Cybervorfälle werden immer häufiger und verursachen sowohl für die betroffenen Unternehmen als auch für die Kunden, deren Daten kompromittiert wurden, immer größere Schäden. Es ist zu erwarten, dass bald weitere Vorschriften zum besseren Schutz der Opfer von Datenverstößen erlassen werden. Tatsächlich stellen diese neuen Änderungen der Verordnung S-P nur eine von drei Cybersicherheitsmaßnahmen dar, die die SEC in diesem Jahr vorgeschlagen hat.

Im Idealfall kommen strengere Cybersicherheitsvorschriften allen beteiligten Unternehmen zugute, aber diese Vorteile sind mit Änderungen bei der Compliance verbunden. Die betroffenen Unternehmen müssen die Nuancen dieser Regeländerungen, von denen einige sehr subtil sind, genau verstehen, um sicherzustellen, dass sie innerhalb des vorgegebenen Zeitraums vollständig konform sind.

Der vielleicht wichtigste Aspekt dieser Regeländerungen ist die Anforderung, dass ein Programm zur Reaktion auf Vorfälle eingeführt und in Richtlinien und Verfahren festgeschrieben werden muss. Die Einhaltung dieser Änderung erfordert nicht nur den Nachweis eines angemessenen Programms zur Reaktion auf Vorfälle, sondern auch die effektive Umsetzung dieses Programms im Falle einer Datenverletzung.

Unternehmen, die die Vorschriften einhalten möchten, sollten die wichtigsten Akteure ihres Programms zur Reaktion auf Vorfälle identifizieren, ihnen bestimmte Rollen zuweisen und sicherstellen, dass sie die erforderlichen Schulungen erhalten, um schnell und effektiv auf Cybervorfälle reagieren zu können. Angesichts der neuen SEC-Vorschriften sollte diese Schulung einen Plan zur Benachrichtigung der Kunden umfassen und hervorheben.

Die Inanspruchnahme von Cyber-Incident-Response-Diensten durch Dritte kann nicht nur zur Einhaltung der Vorschriften beitragen, sondern auch den durch eine Datenverletzung entstandenen Ruf- und finanziellen Schaden erheblich reduzieren. Durch Outsourcing erhalten Unternehmen Zugang zu einem erfahrenen Incident-Response-Team und modernster Technologie, mit denen sie ihren Cybersicherheitsplan stärken und die SEC-Vorschriften erfüllen können.

Fazit

Da der Einsatz von Technologie im Finanzsektor weiter zunimmt und sich weiterentwickelt und die Zahl der Datenverstöße weiter steigt, ist mit neuen Vorschriften und Regelungen zu rechnen, die mit beiden Entwicklungen Schritt halten sollen. Um die Compliance zu gewährleisten, müssen Sie die kommenden Entwicklungen genau im Auge behalten, verstehen, wie sich neue Vorschriften und Regelungen auf Ihre aktuellen Richtlinien und Verfahren auswirken, und proaktiv die notwendigen Anpassungen vornehmen.

Unabhängig davon, ob Sie intern oder mit einem externen Dienstleister zusammenarbeiten, ist es entscheidend, bei diesen sich weiterentwickelnden Vorschriften immer einen Schritt voraus zu sein, da die Bekämpfung von Cybersicherheitsproblemen zweifellos eine der obersten Prioritäten der SEC ist und auch in Zukunft bleiben wird.