美国证券交易委员会(SEC)于今年3月宣布了一系列旨在保护金融系统免受网络安全事件影响的政策,随后于7月26日颁布了规定,要求所有上市公司在确认网络安全事件具有重大影响后的四天内披露相关信息。如果美国司法部长认定立即披露会对国家安全或公共安全构成重大风险,披露可以最多延迟至60天。这些规定要求企业披露网络安全事件的性质、范围、时间以及对公司可能造成的实质性影响。
此外,企业还需要描述其评估、识别和处理网络安全威胁的流程,并在年报( annual 10-K filing)中披露这些信息,包括在进行的或持续进行的补救措施。
这些规定最初是在2022年3月被提出的,当时SEC认定企业面临的网络威胁正在持续升级,随着企业数字化运营和远程办公的增加,网络安全事件给投资者带来的损失也在增加。
“SEC主席Gary Gensler在一份声明中表示:“不管是企业失火导致工厂损毁,还是网络安全事件导致数百万文件丢失,这都可能对投资者产生实质性影响。”他指出目前披露的信息存在不一致性。而据穆迪公司的高级副总裁Lesley Ritter表示,这些规定将进一步增加上市企业信息披露的透明度,同时也将促进企业网络安全防护措施的改善。
无论企业是否上市,管理与网络安全相关的漏洞都应成为每个企业运营韧性战略的一部分。提前做好风险管理是降低处理重大网络安全事件成本的最佳方法之一。韦莱韬悦可以协助您量身定制网络安全风险管理方案,以适应您的风险偏好和业务需求,并为您提供关于如何遵守SEC新规定的建议。此外,我们专职的网络安全风险团队可以提供定制咨询服务,以帮助您的企业应对更新的SEC规定,增强组织的网络安全风险韧性。通过专业的风险管理和恰当的网络安全保险计划,企业可以更好地应对网络安全威胁,从而保护企业资产和声誉,维护客户和投资者的信任,并确保业务的持续稳健发展。
如有任何问题或疑虑,请随时联系我们的网络安全风险专家,我们将竭诚为您提供帮助和支持。
