新规定：公开交易公司的网络安全报告要求

关键要点

美国证券交易委员会SEC于2023年9月5日实施新规，要求公开交易公司定期报告网络安全风险管理策略及治理情况。重大网络事件的报告将于2023年12月18日生效，适用于大型公司，之后180天适用于小型企业。企业需在识别到“重大”安全事件后的四天内向SEC提交报告。规定对企业的管理层网络安全背景和风险管理措施提出了明确要求。

新的公开交易公司网络安全规则于9月5日生效，证券交易委员会SEC要求企业开始定期报告其网络安全风险管理策略、董事会层面的网络安全治理及监督，以及重大网络事件的报告要求。

尽管重大事件的报告规定并不会立即生效大型公开公司将于2023年12月18日开始实施，小型企业则在此后180天内提交企业已经紧急行动起来，分析这些新规对自身网络安全策略的潜在影响。

clash机场推荐

虽然出于国家安全原因会有一些例外，但大多数企业应该准备在确认某次黑客攻击或安全事件性质“重大”的四天内向SEC提交通知。

哈雷盖格Harley Geiger，Venable律师事务所的网络安全政策律师，并对此新规持怀疑态度，他认为企业应做好准备，在调查安全漏洞的基本方面时，可能仍需向政府报告信息。

“因为披露的时间限制，企业应该准备好在网络安全事件仍在进行中时，进行这些评估和披露，”盖格在周二的文章中写道。“公开公司的安全、法律和企业沟通团队应协作调整网络事件响应计划和财务报告流程，以满足这些义务。”

“重大性”及披露事件

在披露方面，企业面临的最大问题之一是“重大性”，即SEC将如何定义被覆盖的事件。

SEC对重大性的定义相对广泛，指能影响潜在投资者决策的信息。根据该机构提出的解释性指导，重大性定义为“使能够信赖报告的理性人的判断有可能被该信息的包含或更正改变或影响的信息”。

这意味着任何可能导致诉讼或监管调查、影响供应商或客户关系，或以其他方式损害公司声誉或竞争力的public企业事件，都可能属于要求的范围内。

IANS研究的教职人员、Sumo Logic的首席安全官兼IT高级副总裁乔治盖尔丘George Gerchow对于“重大事件”问题表示担忧，“目前对此的未知数依然太多”。

“我们试图理解什么是‘重大事件’，但它仍然过于模糊。而且关于企业如何处理第三方攻击的指导几乎没有。供应链攻击逐渐增多，增加了全面报告事件的复杂性。因此，企业如何在如此短的时间内与第三方及其团队合作处理事件呢？”他问道。

SEC发布的最终规则将这个术语描述为“重大影响或可能对[公司的]商业战略、运营结果或财务状况产生重大影响的安全事件。”企业必须向SEC提交年度披露，以及关于特定安全事件的8K表格，详细说明事件对其商业运营或客户的性质、范围、时间和影响。

重要的是，盖格指出，与许多其他事件报告规则不同，依据新的SEC规定报告的攻击事件将通过EDGAR系统向公众披露，即该机构的公开交易公司报告系统。

“这可能导致企业在事件尚未得到控制或缓解的情况下公开披露重大网络事件，这可能会复杂化企业的恢复努力及与其他联邦机构的协调，”他指出。

风险管理与董事会的网络安全角色

SEC于周二生效的另一项举措要求企业描述其网络安全风险管理策略以及这些策略如何切实融入到公司的整体业务运营中。此外，还需详细说明董事会和管理层在监督网络风险中所扮演的角色及高管在网络安全领域的背景经验。

这可能意味着网络安全资格在招聘C级及其他高管职位时会变得更加重要，企业在遵守规定时可能会重点突出或夸大被雇用候选人的网络安全背景，正如一位专家最近对SC媒体所言。

此外，这也可能导致关于企业网络安全项目实际运作方式与高管所描述的其远离实际操作的方式之间的信息