Help net security發佈了一篇如何理解新的 SEC 網路風險揭露規則
美國證券交易委員會(SEC)在 2023 年 12 月 18 日實施了一系列新的網路安全風險管理、策略、治理和事件揭露規則,要求上市公司在發生重大網路安全事件時提高透明度,並在每年的 10-K 表格中揭露與網路安全相關的重要資訊。這些新規則對於那些對自己的網路安全保護、可見性和事件應變能力有所擔憂的企業來說,可能是一個嚴峻的挑戰。更重要的是,這些新規則不僅影響上市公司,也影響私有企業,尤其是那些與上市公司有供應鏈關係的企業,因此各種規模的企業都需要檢視並可能修正自己的網路安全實務。讓我們來深入了解 SEC 的新規則,它們的意涵,以及企業可以採取的措施,以便順利適應這個變化。
新規則的內容
根據 SEC 的新網路安全規則,上市公司必須在發現任何重大事件(定義為合理投資者可能會認為重要的事件)後的四個工作日內報告。此外,如果一系列之前未揭露的事件有一個共同的因素,指向一個重大的網路安全問題,例如來自同一個攻擊來源或機制的事件,上市公司也必須提交報告。上市公司現在必須在 SEC 的 8-K 表格中揭露事件。這是除了他們每年在 10-K 表格中報告與網路安全風險、管理、策略和治理實務相關的重要資訊之外的要求。雖然新的事件報告規則在 2023 年 12 月 18 日生效,但較小規模的報告公司有額外的 180 天的緩衝期,之後才必須開始揭露事件。
私有企業也必須了解這些規則
SEC 的目標是建立更高的透明度和一致性,以便於網路安全事件報告實務。這包括確保上市公司供應鏈中的私有企業也了解這些規則,並根據這些規則調整自己的網路安全實務。雖然上市公司將直接負責事件揭露,但 SEC 已經表明了它願意對供應鏈中的私有企業負責。在 2023 年一起涉及私人律師事務所 Covington & Burling 的網路攻擊的訴訟中,SEC 要求提供受影響客戶的名單,導致大部分的客戶在訴訟的解決中被點名。在另一個例子中,SEC 指控私有公司 Monolith Resources 違反了告密者保護規則。SEC 可以並且將會對來自公共和私有部門的違規者執行其網路安全規則,這意味著公共公司供應鏈中的私有企業必須準備好透明和及時的事件報告。
如何適應新的 SEC 網路安全規則
無論是公共還是私有企業的網路安全團隊,可能都需要從根本上改變他們的資料收集實務和能力,以便在四個工作日的時限內完成事件報告。為了做到這一點,企業需要具備以下幾個方面的能力:
- 有效地識別和評估網路安全事件的重要性,並確定是否需要向 SEC 報告。
- 快速地收集和分析與事件相關的資訊,包括事件的原因、影響、應對措施和預防策略。
- 準確地填寫和提交 SEC 的表格,並遵守其格式和內容的要求。
- 持續地監測和更新事件的狀態,並在有新的發展時及時通知 SEC 和其他相關方。
為了具備這些能力,企業需要投資於網路安全的人員、技術和流程,並建立一個有效的網路安全治理架構,以確保網路安全風險管理、策略和事件應變的一致性和責任。此外,企業也需要與其供應鏈夥伴建立良好的溝通和合作,以便在發生事件時能夠共享資訊和協調行動。
SEC 的新網路安全規則是對於企業網路安全實務的一個重大的挑戰,但也是一個改善和提升的機會。企業應該積極地適應這個變化,並利用這個機會來強化自己的網路安全防禦和應變能力,從而為自己和其利益相關者創造更安全和更可信的網路環境。