Die Securities and Exchange Commission (SEC) hat im Juli 2023 einen Regelwerksatz verabschiedet, der börsennotierte Unternehmen zur Offenlegung von wesentlichen Cybersecurity-Vorfällen, ihren Strategien zur Risikomanagement im Klimabereich und den Kontrollmechanismen ihrer Vorstandsgremien für beide Aspekte zwingt. Obwohl das Gesamtziel nicht neu ist, geht es in der Tiefe dieser Reglung zum ersten Mal nicht nur um das, was passiert ist, sondern auch um die organisatorische Struktur des Vorstands, um solche Vorfälle zu verhindern.
Dies ist keine administrative Aktualisierung. Es ist ein Wandel in der Grammatik der Unternehmensführung.
Von freiwilliger Offenlegung zu verpflichtender Registrierung
Jahrelang war die Offenlegung nicht-finanzieller Risiken ein PR-Übungsplatz, verkleidet als Governance. Unternehmen veröffentlichten ihre Cybersecurity-Richtlinien in Nachhaltigkeitsberichten, die niemand streng überprüfte, und Vorstände konnten sich einer "strategischen Aufsicht" rühmen, ohne dass es formale Mechanismen zur Überprüfung gab. Die SEC hat diese Lücke geschlossen.
Der neue regulatorische Rahmen basiert auf einer Logik, die Unternehmensanwälte als disclose or explain (offenlegen oder erklären) bezeichnen: Entweder legt man die Praxis offen oder erklärt öffentlich, warum man das nicht tut. Diese Mechanik ist wesentlich zwanghafter als sie erscheint. In der Theorie kann jedes Unternehmen den Weg der Erklärung wählen. In der Praxis bedeutet dies jedoch, dem kritischen Blick von Abstimmungsberatungen wie ISS oder Glass Lewis ausgesetzt zu sein, die das Fehlen formaler Kontrollen mit der Empfehlung ahnden, gegen Vorstandsmitglieder zu stimmen. Das Ergebnis ist ein Marktdruck, der als implizite Anweisung fungiert.
Die Cybersecurity-Regelung - kodifiziert im Item 106 des Regulation S-K - verlangt von Unternehmen, ihre Prozesse zur Identifizierung und Verwaltung wesentlicher Risiken zu beschreiben, die potenziellen Auswirkungen auf das Geschäft und spezifisch die Rolle des Vorstands in der Überwachung von Cyberbedrohungen. Es reicht nicht aus, einen Prüfungsausschuss zu haben, der Vorfälle nachträglich überprüft. Der Regulator will wissen, wie gut der Vorstand auch auf solche Vorfälle vorbereitet ist.
Parallel dazu legen die Klimaanforderungen einen gestaffelten Zeitplan fest: Unternehmen mit höherer Marktkapitalisierung (Large Accelerated Filers) müssen 2025 mit der Offenlegung finanzieller Risiken und 2026 mit der Offenlegung von Treibhausgasemissionen beginnen. Mittlere Unternehmen folgen 2026 beziehungsweise 2028. Dieser Zeitplan ist nicht großzügig: Für viele Organisationen dauert es 18 bis 36 Monate, um die erforderliche Dateninfrastruktur aufzubauen.
Der Druck lastet direkt auf der Zusammensetzung des Vorstands
Hier liegt der Punkt, den die meisten Analysen zu diesem Thema nicht beachten: Die neuen Regeln ändern nicht nur, was berichtet wird, sondern wer an der Spitze sitzen muss, um glaubwürdig berichten zu können.
Ein Vorstand, der ausschließlich aus Führungskräften mit traditionellen finanziellen und operativen Profilen besteht, hat nicht die technische Fähigkeit, eine Cybersecurity-Strategie mit dem Niveau an Detailgenauigkeit zu überwachen, das die SEC nun verlangt. Das Gleiche gilt für das Klimarisiko: Ein Vorstand, der den Unterschied zwischen den Emissionen der Kategorien 1, 2 und 3 nicht versteht, kann nicht zuverlässig belegen, dass das Unternehmen seine regulatorischen Risiken in diesem Bereich angemessen verwaltet.
Dadurch steigt die Nachfrage nach Vorstandsmitgliedern mit technischen Fachkenntnissen: ehemaligen Sicherheitsleitern (CISOs), Experten für Energieinfrastruktur, Ingenieuren mit Erfahrung in der industriellen Dekarbonisierung. Das Problem ist, dass dieser Talentmarkt eng und teuer ist. Die Rekrutierung eines Vorstandsmitglieds mit echten Qualifikationen in Cybersecurity oder Klimarisiko hat erhebliche Opportunitätskosten, sowohl in Bezug auf die Vergütung als auch auf die Zeit, die benötigt wird, um sie in die Vorstandsarbeit einzugewöhnen.
Unternehmen, die versuchen, dies durch Schnellschulungen für ihre aktuellen Vorstandsmitglieder zu lösen, setzen darauf, dass oberflächliches Wissen ausreicht, um den regulatorischen Standard zu erfüllen. Es handelt sich um eine Wette, die wahrscheinlich beim ersten wesentlichen Vorfall unter den neuen Regeln nicht standhalten wird.
Die Reform übt auch Druck auf die Struktur der Ausschüsse aus. Historisch gesehen, übernahm der Prüfungsausschuss so gut wie alle Risikoaspekte. Heute schaffen viele Vorstände spezielle Ausschüsse für Cybersecurity und Nachhaltigkeit, was die Last auf die unabhängigen Vorstandsmitglieder erhöht und die Betriebskosten des Vorstands erhöht. Für ein Unternehmen mit einem Jahresumsatz von unter 500 Millionen US-Dollar können diese strukturellen Kosten zwischen 0,3 % und 0,8 % ihrer allgemeinen administrativen Ausgaben ausmachen, so Schätzungen aus der Rechtsbranche.
Die Gefahr, Compliance mit Strategie zu verwechseln
Das größte operationale Risiko, das ich sehe, ist die Verwirrung zwischen der Erfüllung des Vorschriftenformulars und dem Risikomanagement. Diese beiden Ziele sind nicht dasselbe, und eine Optimierung für eines kann das andere gefährden.
Ein Unternehmen, das seine Cybersecurity-Offenlegung zur Erfüllung des Item 106 erstellt, ohne seine internen Prozesse für das Management von Vorfällen umzugestalten, hat eine bedeutende rechtliche Haftung geschaffen: Wenn es zu einem Vorfall kommt, hat der Regulator ein zertifiziertes Dokument in der Hand, in dem das Unternehmen robuste Kontrollen behauptet. Der reputations- und rechtliche Schaden eines solchen Vorfalls wird durch die Distanz zwischen dem, was erklärt wurde, und dem, was tatsächlich existierte, multipliziert.
Das Gleiche gilt für das Klimarisiko. Die Offenlegung von Emissionen ohne einen glaubwürdigen Managementplan ist paradoxerweise kostspieliger, als gar nicht zu offenbaren, denn es wandelt ein regulatorisches Risiko in ein Prozessrisiko um. Institutionelle Anleger mit ESG-Vorgaben nutzen bereits Klimaoffenlegungen, um Fälle von Treuepflichtverletzungen gegen Vorstandsmitglieder zu erstellen, die Strategien genehmigt haben, die mit ihren eigenen öffentlichen Erklärungen inkonsistent sind.
Der SEC-Vorsitzende Gary Gensler formulierte das Ziel des Regulators prägnant: die Offenlegungen sollen "konsistent, vergleichbar und nützlich für die Entscheidungsfindung" sein. Diese technische Sprache hat eine direkte Implikation für die Vorstände: Der Standard besteht nicht darin, mehr offenzulegen, sondern ausreichend präzise zu offenbaren, damit ein externer Investor eine unabhängige Risikoabschätzung vornehmen kann. Die generischen Boilerplate, die einen großen Teil der aktuellen Offenlegungen prägen, überstehen diesen Standard nicht.
Der Vorstand als strategisches Gut, nicht als Compliance-Struktur
Die Unternehmen, die in diesem Umfeld besser positioniert sind, sind die, die die neuen Anforderungen als Gelegenheit genutzt haben, die Struktur ihrer Vorstände neu zu kalibrieren, nicht die, die eine externe Kanzlei engagiert haben, um die erforderlichen minimalen Offenlegungen zu erstellen.
Das erfordert konkrete Entscheidungen: Die Lücken in der technischen Kompetenz des aktuellen Vorstands zu identifizieren, einen Aufnahmeprozess für neue Vorstandsmitglieder mit aktualisierten Kriterien zu gestalten, und einen internen Berichtsmechanismus zu entwickeln, der die Daten bereitstellt, die der Vorstand benötigt, um Cybersecurity und Klimarisiko vierteljährlich zu überwachen, nicht jährlich. Der Offenlegungsprozess bei der SEC sollte der letzte Schritt dieses Systems sein, nicht der erste.
Unternehmen, die in diese Governance-Infrastruktur investieren, bevor die Fristen für die Einhaltung sie dazu zwingen, werden einen strukturellen Vorteil haben: Ihre Vorstände werden besser gerüstet sein, Risiken zu erkennen, bevor sie wesentlich werden, was die Wahrscheinlichkeit von Vorfällen und damit die damit verbundenen Kosten für Rechtsstreitigkeiten, Reaktion und reputationalen Schaden erheblich senkt. Der regulatorische Rahmen der SEC beschleunigt mit all seinen Implementierungsfriktionen eine Differenzierung zwischen Unternehmen, die mit Daten und Unternehmen, die mit Dokumenten führen.
