Help net security發佈了一篇美國證券交易委員會的網路安全事件揭露規則對企業的影響與重要性
網路安全事件對企業的營運、財務、聲譽等方面都可能造成重大的影響,因此企業有必要及時、準確、完整地向投資者和公眾揭露相關的資訊。為了提高企業的網路安全揭露水準,美國證券交易委員會(SEC)於2023年7月26日通過了一系列的新規則,要求註冊者(即受SEC監管的企業)在發生重大的網路安全事件後,必須在四個工作日內通過表格8-K向SEC報告事件的性質、範圍、時間和影響。此外,註冊者還必須在每年的年報中,披露其網路安全風險管理、策略和治理的重要資訊,包括其評估、識別和管理網路安全威脅的流程,以及董事會對網路安全風險的監督和管理層的角色和專業度。這些新規則也適用於外國私人發行人(即在美國上市的外國企業),他們需要通過表格6-K和表格20-F進行相應的揭露。
這些新規則的目的是讓投資者能夠更清楚地了解企業的網路安全狀況和應對能力,從而做出更明智的投資決策。SEC主席Gary Gensler表示:“無論是因為火災而失去一座工廠,還是因為網路安全事件而失去數百萬個檔案,對投資者來說都可能是重要的。目前,許多上市公司都向投資者提供了網路安全的揭露。但我認為,如果這些揭露能夠更一致、可比和有助於決策,那麼投資者和公司都會受益。通過幫助確保公司揭露重要的網路安全資訊,今天的規則將有利於投資者、公司和連接他們的市場。”
這些新規則對企業的影響和重要性有以下幾個方面:
- 提高企業的網路安全意識和投入。企業必須建立和完善其網路安全風險管理、策略和治理的機制,並定期檢視和更新其網路安全的措施和流程,以應對不斷變化的網路安全威脅和挑戰。企業也必須加強其網路安全的人員培訓和資源投入,以提高其網路安全的能力和水準。
- 增加企業的網路安全透明度和信任度。企業必須及時、準確、完整地向SEC和投資者揭露其網路安全事件和風險管理的資訊,並避免隱瞞、淡化或誤導的行為。這樣可以增加企業的網路安全透明度和信任度,並減少投資者的不確定性和懷疑。
- 降低企業的網路安全法律和監管風險。企業必須遵守SEC的網路安全揭露規則,否則可能面臨SEC的調查、處罰或訴訟。企業也必須注意其他法律和監管的要求,例如消費者隱私保護、數據安全和資訊披露等,以避免違法或違規的風險。
- 優化企業的網路安全事件應急和管理。企業必須建立和執行有效的網路安全事件應急和管理計畫,以應對可能發生的網路安全事件。企業必須及時發現、分析、處理和報告網路安全事件,並採取適當的措施,以減少事件的影響和損失,並恢復正常的營運。
總之,SEC的網路安全事件揭露規則對企業的網路安全有著重要的影響和意義,企業應該積極適應和遵守這些規則,並將網路安全作為其戰略和管理的重要部分,以保護自身和投資者的利益。
詳情請看:
5 resolutions to prepare for SEC’s new cyber disclosure rules