美国SEC要求企业四天内披露网络攻击

美国证券交易委员会(SEC)近日通过了新的网络安全事件报告规则,要求上市公司在确定网络攻击属于重大事件后的四个工作日内披露信息。新的报告规则将于今年12月或在《联邦公报》上发布后30天生效。

根据SEC的说法,重大事件是指上市公司股东“在做出投资决策时”认为重要的事件。

SEC还通过了新法规,要求外国私人发行人在网络安全漏洞发生后提供同等信息披露。

“无论一家公司在火灾中失去一家工厂,还是在网络安全事件中失去数百万个文件,这对投资者来说都可能很重要。目前,许多上市公司向投资者提供网络安全披露,”SEC主席加里·詹斯勒(Gary Gensler)表示:“如果这种信息披露以更加一致、可比较,和对决策有用的方式进行,公司和投资者都会受益。”

上市公司现在必须在定期报告文件中(特别是8-K表格)披露有关网络攻击的详细信息(包括事件的性质、范围和时间),规模较小的公司可延期180天披露。

SEC要求公司披露以下与网络安全事件相关的信息(在提交表格8-K时可用):

  • 发现日期和事件状态(正在进行或已解决)。
  • 对事件性质和范围的简要描述。
  • 未经授权可能被泄露、更改、访问或使用的任何数据。
  • 该事件对公司经营的影响。
  • 有关公司正在进行或已完成的补救措施的信息。

但是,遭受攻击的公司不应披露其事件响应计划的技术细节或可能影响其响应或补救措施的潜在漏洞的详细信息。

在某些情况下,如果美国司法部长确定立即披露会对国家安全或公共安全构成重大风险,则披露时间表也可能会推迟。

穆迪投资者服务公司高级副总裁莱斯利·里特(Lesley Ritter)表示,新规则将提高透明度,但可能对小公司构成挑战。增加信息披露有助于公司比较实践,并可能刺激网络防御的改进,但对于资源有限的小公司来说,满足新的信息披露标准可能是一个更大的挑战。

参考链接:

https://www.sec.gov/rules/final/2023/33-11216.pdf

前一篇2023年十大渗透测试工具
后一篇未来五年薪酬最高的八个网络安全职位