美國證券交易委員會(SEC)近日通過了新的網絡安全事件報告規則,要求上市公司在確定網絡攻擊屬于重大事件后的四個工作日內披露信息。新的報告規則將于今年12月或在《聯邦公報》上發布后30天生效。

根據SEC的說法,重大事件是指上市公司股東“在做出投資決策時”認為重要的事件。

SEC還通過了新法規,要求外國私人發行人在網絡安全漏洞發生后提供同等信息披露。

“無論一家公司在火災中失去一家工廠,還是在網絡安全事件中失去數百萬個文件,這對投資者來說都可能很重要。目前,許多上市公司向投資者提供網絡安全披露,”SEC主席加里·詹斯勒(Gary Gensler)表示:“如果這種信息披露以更加一致、可比較,和對決策有用的方式進行,公司和投資者都會受益。”

上市公司現在必須在定期報告文件中(特別是8-K表格)披露有關網絡攻擊的詳細信息(包括事件的性質、范圍和時間),規模較小的公司可延期180天披露。

SEC要求公司披露以下與網絡安全事件相關的信息(在提交表格8-K時可用):

  • 發現日期和事件狀態(正在進行或已解決)。
  • 對事件性質和范圍的簡要描述。
  • 未經授權可能被泄露、更改、訪問或使用的任何數據。
  • 該事件對公司經營的影響。
  • 有關公司正在進行或已完成的補救措施的信息。

但是,遭受攻擊的公司不應披露其事件響應計劃的技術細節或可能影響其響應或補救措施的潛在漏洞的詳細信息。

在某些情況下,如果美國司法部長確定立即披露會對國家安全或公共安全構成重大風險,則披露時間表也可能會推遲。

穆迪投資者服務公司高級副總裁萊斯利·里特(Lesley Ritter)表示,新規則將提高透明度,但可能對小公司構成挑戰。增加信息披露有助于公司比較實踐,并可能刺激網絡防御的改進,但對于資源有限的小公司來說,滿足新的信息披露標準可能是一個更大的挑戰。

網絡安全 sec 網絡攻擊
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接