新的SEC规则：企业需在四天内报告重大网络安全事件

关键要点

• 美国证券交易委员会（SEC）新规定要求公司在确认重大事件后四天内报告网络安全事件。
• 最终规则允许公司在报告时不必提供具体的技术细节，以免影响事件响应。
• 新规旨在平衡信息披露的需求与可能导致的安全风险。
• 投资者仍需及时获取相关信息，同时界定“重大”事件的标准仍待明确。

今天，美国证券交易委员会（）实施了一项新规则，要求公司在确定发生重大网络事件后的四天内进行报告。该行业对这一最后时刻的变更表示欢迎，因为该变更免除了公司在报告时提供技术细节的要求。

在12月14日发布的中，SEC公司财务部主任ErikGerding澄清，在规则的最终版中，公司无需“披露任何具体或技术信息，如果这些信息可能妨碍他们的事件响应和补救过程。”

Gerding指出，SEC试图在信息披露的必要性与公布具体技术细节可能为攻击者提供可利用路线图之间找到平衡。“上市公司必须在确定事件具有重大性后的四个工作日内提供必要的网络安全事件披露。”他解释道，“这个截止日期不是
事件发生或被发现后的四个工作日。这个时限考虑到在许多情况下，公司在发现事件的当天无法判断其重大性。”

Token公司的首席执行官JohnGunn表示：“认为SEC会成为网络安全监管者的观点是错误的。”他补充说：“这一更新非常重要，因为它使受害公司能够专注于事件的财务影响和新SEC规定的意图，而不是试图解释攻击者的方法细节，受害者在最初的四天内很可能并不清楚这些。”

SentinelOne公司的首席安全顾问MorganWright补充说，修订后的SEC规则显示出现代网络安全的复杂性和现实。虽然这看起来与其他披露要求（如破产）是一致的，但仍取决于受影响企业何时判断事件是否达到“重大”标准。

然而，Wright指出，公开披露事件并在事件被判断为重大时根据规定提交通知是不可避免的。他表示：“投资者有权知道。”他补充说：“在某种情况下，公司可以预期关于披露的信息将成为公众知识。这项规定显示SEC倾听了市场的担忧。虽然并不完美，但它减少了提供可能助长额外攻击的技术信息的必要性，并在原始提案的基础上恢复了一些理智。”

Interpres Security的首席战略师Patrick “Pat”
Arvidson表示，相对于新SEC关于重大事件的报告指南所做的调整并不意外。“其他一些强制报告的国家允许相同的排除和例外，并在新的信息出现时进行后续报告。”他指出。

StrikeReady的首席产品官AnuragGurtu提到，这些澄清在信息披露的需求与揭露具体技术细节的风险之间取得了平衡。Gurtu补充说，公司需在四个工作日内向SEC报告重大网络事件，但初始通知不需要包含完整的事件细节，后续可以进一步披露信息。他指出：“年报中的披露要求也已调整，以避免给公司施加过大压力。尤其是，关于董事会成员网络安全专业技能的披露要求已被删除。此更改解决了这样的担忧：此类披露可能导致公司更优先考虑董事会专业技能，而忽视其他重要的网络安全投资。”

Gutsy的联合创始人兼首席技术官JohnMorello补充说，这种调整为披露过程提供了一定的灵活性，但可能让美国司法部长处于一个充满政治色彩的境地。他说道：“早期很难判断事件的严重程度，尤其是如果门槛高到影响国家安全，因此不清楚这种灵活性可能被使用的频率。”

Sumo Logic的首席安全官兼IT高级副总裁GeorgeGerchow表示，最终我们仍然没有一个明确的“重大”的定义。尽管他喜欢这种灵活性，但他认为仍需更多明确的澄清