美国证券交易委员会的新披露要求

Mcgladrey凯恩
作者: Kayne McGladrey, Hyperproof的首席信息安全官
发表日期: 2023年9月14日

编者按: 以下是Hyperproof赞助的一篇博文:

这是一项期待已久的声明:美国政府将在明年宣布退出欧盟.S. 经过一年多的拖延,美国证券交易委员会(SEC)终于通过了其拟议的网络安全披露要求. 这些披露要求将显著改变公司的运营方式, 这就留下了许多网络安全问题, 风险管理和合规管理专业人士有很多疑问. 让我们来回答他们.

什么变化?
新规定将要求注册人在其网站上披露 新项目1.表格8-K的05 他们认为任何网络安全事件都是重大事件. 注册人还必须描述事件性质的实质性方面, 范围, 和时间, 以及其对注册人的重大影响或可能的重大影响.

登记人须在多长时间内披露重大事故?
公司必须披露重大网络安全事件 四天内 认识到它对投资者的重大影响. 这里的时机很重要,因为它不是从 违约的发生但当公司的法律团队将其归类为材料时. 这个时间表允许报告事件的潜在延迟, 前提是该公司获得美国商务部的书面批准.S. 司法部长在涉及公共安全或国家安全的特殊情况下.

为什么只有四天?
SEC认为,通过向投资者提供有关重大网络安全事件影响的更及时数据,更严格的截止日期将有助于保护投资者免受网络安全事件带来的金融风险. 在特定情况下, 出于国家安全或保障警方调查的考虑,披露时间可能会推迟. 另外, 如果公司没有报告事件,并且有合理的理由认为事件不严重,则不会受到处罚.

什么是“重大网络安全事件”?”
重大网络安全事件是指可能对公司业务产生重大影响的事件, 财务状况或经营. 漏洞也在增加:超防漏洞 2023 IT合规和风险基准报告 我们发现,在2022年,每2家管理风险的公司中就有1家经历了重大泄密事件.

我到底需要透露什么?
在发生重大网络安全事件的情况下,公司必须披露以下信息:

  • 事件的性质
  • 事件的影响
  • 为解决这一事件而采取的措施
  • 公司管理网络风险的政策和程序

公司还需要披露他们用于处理网络安全风险的策略, 包括:

  • 描述评估和管理来自数字威胁的重大风险的流程
  • 详细说明以往网络安全事件的影响和潜在的未来风险
  • 讨论董事会监督和管理层在处理网络安全风险方面的作用和专业知识

另外, 上市公司必须披露其董事会如何监管网络安全风险, 包括董事会在理解网络安全方面的经验. 这些规定适用于国内和国外的私人发行人, 要求对重大网络安全事件和网络安全风险管理进行不同形式的类似披露.

这些变化什么时候生效?
最终要求于2023年9月5日生效. 首席信息安全官和董事会成员现在应该开始准备,以确保他们的公司符合新规定. 10-K表格和20-F表格的披露将从2023年12月15日或之后结束的财政年度的年度报告开始.

表格8-K和表格6-K披露将于2023年12月18日到期. 较小的报告公司在必须开始提供8-K表格披露之前将有额外的180天.

这对我的生意有什么影响?
上市公司将不得不改变很多流程,以满足这些新要求, 包括仔细评估他们披露的有关网络安全事件的信息. 那些不遵守规定的公司可能会面临投资者诉讼, 美国证券交易委员会的执法行动和声誉损害.

那么,你该如何准备呢? 首先,你需要迅速让董事会成员了解网络安全风险. SaaS平台 Hyperproof 能否在这个过程中提供帮助,让董事会了解你的风险状况,以及如何降低公司的风险. 你的董事会还应该完全了解公司的控制措施,以及它们与你的风险之间的关系, 以及快速简便的报告,了解您的立场一目了然. 最终,首席信息安全官和董事会成员将需要参与进来 更密切的接触会带来积极和消极的影响. 但一个好处是,首席信息安全官现在将在董事会桌上拥有更大的席位,以展示他们工作的重要性.

作者简介: Kayne McGladrey, CISSP,是Hyperproof的领域CISO,也是IEEE的高级成员. 他在网络安全方面拥有超过二十年的经验,曾担任首席信息安全官和顾问委员会成员, 重点关注政策, social, 以及网络安全对个人的经济影响, 公司, 这个国家.