新的网络安全监管法规
关键要点
- 美国证券交易委员会(SEC)以3-2的投票结果通过了新网络安全法规。
- 上市公司需在网络攻击后四天内通知SEC及公众。
- 新规要求公司披露其网络安全风险管理和治理策略。
- 部分公司代表和国会议员对新法规表示担忧。
美国证券交易委员会(SEC)于最近的会议上投票以3-2的结果通过了一项新规定
,要求上市公司在其IT系统遭到黑客攻击时通知政府,并定期在公开文件中披露有关其网络安全风险治理的详细信息。根据这项新规,企业必须在确定网络安全事件对其业务运营有“重大”影响后四天内通知SEC和公众,同时提供事件的性质、范围和时间,以及对企业财务状况和运营的“可能”重大影响的信息。
这些新规还要求公司在年度文件中披露网络安全风险管理、战略和治理的信息。新规批准的披露内容将包括董事会如何监督网络安全威胁风险的细节,并确定负责监督的董事会委员会或小委员会。
SEC主席加里·根斯勒(GaryGensler)在投票前表示:“我很高兴支持这些规则。其核心在于,它们将增强并帮助规范投资者关于这些上市公司的网络安全实践以及重大网络安全事件的披露。”
根斯勒得到了委员卡罗琳·克伦肖(Caroline Crenshaw)和哈梅·利萨拉加(Jaime Lizárraga)的支持。他们一致通过了这一规则。
然而,这些新规定的事故报告条款也有许多限制。首先,只有在对企业的运营、收入或股价有“重大”影响时,才符合这些规定。SEC工作人员还明确指出,四天的报告时间从公司确认事件的重大性开始计算,而不是从首次发现开始。
此外,委员会还通过了修正案,允许在美国司法部长通知委员会时,对网络事件的通知进行两次各为三十天的延迟,如果披露可能危害国家安全或公共安全,还可以再延迟60天。之后,SEC需要再投票批准进一步的报告延迟。
SEC首席经济学家杰西卡·沃克特(JessicaWachter)表示,新规可能会给公司带来新的合规负担,但委员会不要求报告事件的具体技术细节。她补充道,披露应能让公众掌握足够的信息,以作出更明智的决定。未能披露此类事件“会导致上市公司与投资者之间经典的信息不对称问题”。
“网络安全事件可以显著影响公司的财务运营。缺乏对这些信息的披露会对投资者造成伤害,使他们可能错误配置财富或做出与其他决定不同的选择,”沃克特说道,“在网络安全的案例中,公司可能披露得太少,或者时机不当。”
在投票前,SEC特别顾问纳比尔·奇马(NabeelCheema)表示,针对行业反馈所做的规则改动包括增加多个针对国家安全的延迟窗口,并将事故报告规则的重点更广泛地转向“重大影响或合理可能会产生重大影响…而不是事故的具体技术细节”。
由于新法规的事故报告条款是SEC过去两年内更大网络安全推动中最具争议的方面之一,因此受到了不同程度的反响。一些人对此表示热情,而行业、国会议员以及委员会内部的持不同政见者则对其表示反对。
具体而言,工业团体和国会中的一些共和党人担心这些规定可能与网络安全和基础设施安全局(Cybersecurity and InfrastructureSecurity Agency)为关键基础设施实体实施的类似事故报告规则发生冲突,并在企业遭遇泄漏时过度增加负担,要求它们向多个机构报告同一事件。
Venable的网络安全律师哈雷·洛伦茨·盖尔吉(Harley Lorenz Geiger)告诉SCMedia,要求公司披露其网络风险管理流程可能会为投资者提供有用的信息,进而促进更好的安全实践。
然而,他批评了SEC为四天报告措施设定的“短时间期限”,指出企业现在必须无论事件是否被遏制或减轻,继续通知政府。他说:“这给公司、投资者和消费者带来了风险,因为攻击者可能会被未修补的漏洞提醒到,从而造成更大的损
