美股上市公司重磅新規！重大網絡安全事件需在4天內披露

美國證券交易委員會出臺新規，上市公司需在4天內披露網絡安全違規事件。

安全內參7月28日消息，美國證券交易委員會（SEC）于26日通過新規，要求上市公司在4天內披露所有可能影響其利潤的網絡安全違規事件。如果立即披露會帶來嚴重危及國家安全或公共安全，可延遲披露。

當天的投票結果為3票贊成、2票反對，基本按照黨派劃線。為了保護投資者，新規要求上市公司每年披露公司的網絡安全風險管理、戰略和治理的基礎信息。

如果美國司法部長認定違規事件披露“對國家安全或公共安全構成重大風險”，并以書面形式通知證券交易委員會，則違規事件可以延遲披露。除非有特殊情況，延期不得超過60天。

證券交易委員會主席Gary Gensler在一份聲明中說：“不論是公司失火導致工廠損失，還是網絡安全事件造成數百萬份文件丟失，都可能對投資者產生重大影響。”但是，目前對兩類事件的披露要求并不一致。

穆迪投資者服務公司高級副總裁Lesley Ritter發表聲明稱，新規將為“原本不透明但不斷增長的風險增加透明度”，并可能推動增強網絡防御；但是，對于資源有限的小公司而言，新規可能帶來更大的挑戰。

具體來說，4天的披露期限要從公司確定違規事件屬于重大級別才開始計算。

共和黨證券交易委員Hester Peirce對新規投了反對票。他抱怨說，這些新要求不但超越了證券交易委員會的權力范圍，而且“設計上更符合潛在黑客的需求”，他們可以從詳細披露信息中了解公司如何管理網絡風險。Hester Peirce發表聲明表示，證券交易委員會將不由自主的、更加頻繁地“過度干預”公司運營。

網絡安全領域知名專家、Tenable首席執行官Amit Yoran熱烈歡迎這項新規。他在一份聲明中表示：“長期以來，美國最大、最強的公司一直將網絡安全視為可有可無的事項。現在，可以明確，企業領導必須在組織內提升網絡安全的重要性。”

網安事件影響日益擴大，

信息披露不能再遮掩

相關規定最早于2022年3月提出。當時，業務數字化不斷推進，遠程辦公不斷增加，證券交易委員會因而認定企業網絡違規事件帶來的風險逐漸升高，投資者因網絡安全事件遭受的損失也在增多。

目前，一些關鍵基礎設施運營商和所有醫療保健提供商必須依法報告違規事件。但是，美國還沒有制定聯邦違規事件披露法律。

根據IBM最新發布的一份報告，企業處理違規事件平均需要付出450萬美元的成本，比過去三年增加了15%。波耐蒙研究所的研究員發現，受影響企業通常會將成本轉嫁給消費者，而這些消費者的個人信息可能已在違規事件中被竊取。

新規通過之際正好發生了一起重大數據違規事件，各方對其披露速度偏慢、披露信息模糊，有些披露是以向證券交易委員會提交文件的形式實現的。

這次違規事件的罪魁禍首是俄羅斯網絡犯罪分子，他們利用廣泛使用的文件傳輸程序MOVEit發動供應鏈攻擊，影響了數百家組織。此次違規事件波及多家大學、主要養老基金、美國政府機構，以及俄勒岡州和路易斯安那州的900多萬車主，還影響到英國廣播公司、英國航空公司、安永會計師事務所和普華永道會計師事務所等公司。

MOVEit違規事件的許多受害者很快就發現，數據泄露是第三方應用程序所致。證券交易委員會新規已將第三方應用程序納入其中，指出各家公司正日益依賴外部云服務管理、存儲數據。