Wall Street-Aufsichtsbehörde stellt neue Regeln für Hackerangriffe, Daten und Marktresilienz vor

Die oberste US-Börsenaufsichtsbehörde kündigte am Mittwoch ein Paket von Vorschlägen an, die dazu beitragen sollen, das Finanzsystem gegen Hackerangriffe, Datendiebstahl und Systemausfälle zu schützen.

In einer öffentlichen Sitzung sollten die fünf Mitglieder der Wertpapier- und Börsenaufsichtsbehörde über drei Vorschläge abstimmen, die Teil des anhaltenden Bemühens sind, die Vorschriften zu modernisieren, um den fortschreitenden technologischen Bedrohungen gerecht zu werden.

Die drei Regelvorschläge regeln, wie Broker-Dealer mit Hacking-Vorfällen umgehen und Verbraucherdaten schützen, und wie Börsen und Transaktions-Clearinghäuser und andere, die als kritisch für die nationale wirtschaftliche Sicherheit gelten, sich vor Systemausfällen und Cyber-Eingriffen schützen.

Sie ergänzen die Maßnahmen, die seit letztem Jahr eingeführt wurden, um den nach Ansicht der Behörden zunehmenden Gefahren für Aktiengesellschaften und Anleger zu begegnen. Sie werden wahrscheinlich die Kritik anheizen, dass die SEC unter ihrem Vorsitzenden Gary Gensler eine übermäßig ehrgeizige Agenda für die Erarbeitung von Regeln auf den Weg gebracht hat, die die Grenzen ihrer Kapazität austestet.

Die Vorschläge sehen vor, dass Broker-Dealer und Vermögensverwalter verpflichtet werden, Programme zur Erkennung von und Reaktion auf unbefugten Datenzugriff zu unterhalten und die betroffenen Kunden innerhalb von 30 Tagen zu informieren.

Broker-Dealer, Wertpapierbörsen und andere Unternehmen wären außerdem verpflichtet, Richtlinien für Cybersecurity-Risiken zu unterhalten und die SEC "unverzüglich" über "bedeutende" Vorfälle zu informieren. In seinen vorbereiteten Bemerkungen bezeichnete Gensler den Vorschlag als "den ersten, der sich explizit mit Cybersicherheitspraktiken für die meisten dieser Marktteilnehmer befasst".

Die Forderung nach einer sofortigen Benachrichtigung dürfte bei den Befürwortern der Branche für Aufregung sorgen. Ein ähnlicher Vorschlag aus dem letzten Jahr für Wertpapierfirmen sah eine vertrauliche Benachrichtigung innerhalb von 48 Stunden vor, was den Einwand nach sich zog, dass dies die Bemühungen um eine schnelle Reaktion auf Hackerangriffe behindern könnte.

Gensler wies darauf hin, dass eine Abteilung von Morgan Stanley im September zugestimmt hatte, 35 Millionen Dollar zu zahlen, um die Vorwürfe der SEC auszuräumen, dass sie über einen Zeitraum von fünf Jahren persönliche Daten nicht geschützt hat.

Darüber hinaus schlug die SEC vor, die Zahl der Börsen, registrierten Clearing-Agenturen und anderen Unternehmen zu erweitern, die unter die 2014 erlassene Verordnung "Systems Compliance and Integrity" fallen, die von den Betreibern verlangt, Systeme aufzubauen, die robust genug sind, um Marktaktivitäten zu unterstützen.

Die vorgeschlagene Änderung würde diese Betreiber auch dazu verpflichten, die Dienstleistungen von Cloud-Computing-Anbietern zu überwachen, um sicherzustellen, dass sie den Anforderungen der Vorschrift an die Ausfallsicherheit der Systeme entsprechen.