亞洲資本網(wǎng) > 資訊 > 熱點 > 正文
美國SEC網(wǎng)絡(luò)安全新規(guī)發(fā)布:在美上市企業(yè)的影響與應(yīng)對
2023-08-14 13:08:35來源: 安永EY

隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)安全風(fēng)險對企業(yè)的經(jīng)濟活動造成的影響越來越明顯。此外,隨著網(wǎng)絡(luò)安全攻擊的不斷進化,網(wǎng)絡(luò)安全事件帶來的成本和造成的后果也在持續(xù)升級。在此背景下,2023年7月26日,美國證券交易委員會(SEC)通過了網(wǎng)絡(luò)安全披露準則的更新與補充[1],對注冊企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略、治理和事件的披露要求做出進一步的加強和規(guī)范,旨在滿足投資者對于注冊企業(yè)網(wǎng)絡(luò)安全情況的信息需求。


(資料圖片)

2011年,美國證券交易委員會(SEC)曾發(fā)布《2011員工指南(the 2011 Staff Guidance)》[2],概述了企業(yè)對網(wǎng)絡(luò)安全風(fēng)險和網(wǎng)絡(luò)安全事件可能的披露義務(wù)。在此基礎(chǔ)上,SEC在2018年發(fā)布解釋性公告(the 2018 Interpretive Release)[3],說明了注冊企業(yè)對于網(wǎng)絡(luò)安全風(fēng)險、治理和重大網(wǎng)絡(luò)安全事件的披露要求,但由于此次公告中仍未對披露方式、披露時間、披露內(nèi)容等做出明確的規(guī)范化要求,投資人對此類信息的全面獲取仍存在較大困難。

本次的更新與補充已于2023年8月4日在聯(lián)邦公報發(fā)布[4],并將于發(fā)布的三十天后,即2023年9月5日起生效。

此次發(fā)布的要求主要包含三個方面的內(nèi)容:

? 要求注冊企業(yè)及時披露重大網(wǎng)絡(luò)安全事件;

? 要求注冊企業(yè)定期披露評估、識別和管理重大網(wǎng)絡(luò)安全風(fēng)險的流程,管理層的評估管理職能,以及董事會的監(jiān)督職能;

? 相關(guān)披露應(yīng)采用內(nèi)嵌式可擴展商業(yè)報告語言(Inline XBRL)。

這些要求適用于所有的SEC注冊企業(yè)。大部分外國(美國以外)私人發(fā)行人(FPI)需要與美國本土企業(yè)遵循同樣的要求,僅使用的披露文件表格不同。此外,根據(jù)多轄區(qū)披露系統(tǒng)(MJDS)要求,加拿大企業(yè)(適用于40-F表)可使用加拿大的披露標準和文件滿足相關(guān)要求。

注:

外國私人發(fā)行人(FPI)是指除任何美國以外的發(fā)行公司,但以下除外:(1)其50%以上的記錄在案的流通的有表決權(quán)證券由美國居民持有;(2)符合以下任一條件:(i)其大多數(shù)執(zhí)行官或董事為美國公民或居民;(ii)其50%以上的資產(chǎn)位于美國;或(iii)其業(yè)務(wù)主要在美國管理。

根據(jù)SEC發(fā)布的相關(guān)要求及指導(dǎo)性文件,安永對此次要求進行了初步的梳理和解讀。

一、重大網(wǎng)絡(luò)安全事件披露

首先,注冊企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進行及時披露。

1)要求原文:

注冊企業(yè)必須披露其經(jīng)歷的任何被認定為重大的網(wǎng)絡(luò)安全事件,并從如下方面描述該事件的重大程度:

? 性質(zhì)、范圍和時間;以及

? 影響或合理的可能影響。

2)披露對象:重大網(wǎng)絡(luò)安全事件(material cybersecurity incidents)

對于“重大網(wǎng)絡(luò)安全事件”應(yīng)當(dāng)如何判定,SEC在說明文件中給出了相關(guān)的定義:

? 網(wǎng)絡(luò)安全事件:在注冊企業(yè)信息系統(tǒng)上或通過注冊企業(yè)信息系統(tǒng)發(fā)生的、危及注冊企業(yè)信息系統(tǒng)或其中任何信息的保密性、完整性或可用性的未經(jīng)授權(quán)的事件,或一系列相關(guān)的未經(jīng)授權(quán)的事件。

? 信息系統(tǒng)系指注冊企業(yè)擁有或使用的電子信息資源,包括由此類信息資源或其組成部分控制的物理或虛擬基礎(chǔ)設(shè)施,其目的是收集、處理、維護、使用、共享、傳播或處置注冊企業(yè)的信息,以維護或支持注冊企業(yè)的業(yè)務(wù)。

? 重要性:取決于投資者對事件影響的合理判斷。

由此可以看出:

(1)SEC對“安全事件”的定義范圍較廣,主要側(cè)重于事件的“未授權(quán)”性質(zhì),即使事件中可能不存在惡意攻擊行為,但如果導(dǎo)致對敏感信息或系統(tǒng)的非授權(quán)訪問并產(chǎn)生影響,也屬于要求所述的“網(wǎng)絡(luò)安全事件”范圍內(nèi)。

(2)由于網(wǎng)絡(luò)攻擊可能會隨著時間推移而復(fù)雜化,不一定會作為獨立事件出現(xiàn),SEC并未對上報的事件數(shù)量(例如單個事件或多個事件)做出限制。注冊企業(yè)在進行披露時,應(yīng)當(dāng)從重大影響的角度出發(fā),全面說明造成影響的相關(guān)事件情況,而非從單個事件的維度出發(fā)對其影響進行披露。例如:若單個網(wǎng)絡(luò)安全事件影響較低,但多個事件結(jié)合對企業(yè)產(chǎn)生了/可能產(chǎn)生較大影響,注冊企業(yè)應(yīng)當(dāng)對產(chǎn)生該重大影響的多個事件一同進行披露;

(3)SEC對信息系統(tǒng)的定義中涵蓋了注冊企業(yè)“擁有或使用”的系統(tǒng),說明披露的要求不會受到信息系統(tǒng)的部署位置及所有權(quán)的影響,即使企業(yè)使用的軟件為第三方所有,也不能規(guī)避企業(yè)對事件的披露義務(wù);

(4)由于類似的安全事件對不同企業(yè)的影響也往往會存在較大差異,SEC并未對事件的“重大”程度提出規(guī)范的判定方式,也未給出標準的事件披露清單,僅要求注冊企業(yè)從投資人角度做出“合理”判斷后進行披露。因此,企業(yè)可以自行制定判定標準,如參考SEC提到的風(fēng)險類型,從業(yè)務(wù)戰(zhàn)略、運營結(jié)果、財務(wù)狀況、品牌聲譽、客戶關(guān)系等多個方面,定性和定量地對企業(yè)受網(wǎng)絡(luò)安全事件的影響程度進行判斷。

3)披露方式:

美國注冊企業(yè)應(yīng)通過8-K表進行披露;外國私人發(fā)行人(FPI)應(yīng)通過6-K表進行披露。

4)披露時間:

根據(jù)SEC要求,注冊企業(yè)應(yīng)在完成網(wǎng)絡(luò)安全事件重要性判斷后四個工作日內(nèi)完成披露。若信息不足,可先提交初始的8-K表,并在確定/獲得信息后的四個工作日內(nèi)再次提交修訂表。

此處的關(guān)鍵為,SEC所要求的披露時限中的“四個工作日”并非事件發(fā)生或被發(fā)現(xiàn)起,而是做出重要性判斷起的四個工作日內(nèi)。但這并不意味著企業(yè)可以根據(jù)實踐情況無限地推遲判斷及披露動作,根據(jù)SEC發(fā)布的指引文件說明,企業(yè)必須在“沒有不當(dāng)拖延”的情況下確認事件重要性。

總結(jié)來看,企業(yè)應(yīng)當(dāng)建立合理的事件響應(yīng)流程,確保重大網(wǎng)絡(luò)安全事件可以得到及時響應(yīng)和上報。此外,企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進行真實、及時和充分的披露,確保投資人可以完整全面地獲取網(wǎng)絡(luò)安全事件信息。

根據(jù)SEC過往的執(zhí)法案例,注冊企業(yè)違反SEC相關(guān)披露控制和程序可能導(dǎo)致企業(yè)受到罰款。例如:2021年,某企業(yè)因過往對網(wǎng)絡(luò)安全事件的響應(yīng)及上報流程不當(dāng)、披露不能夠完整反應(yīng)事件信息被SEC罰款近50萬美元。同年,某企業(yè)因網(wǎng)絡(luò)安全控制和程序披露不當(dāng)、對投資人造成誤導(dǎo)的原因,被罰款約100萬美元。若企業(yè)在網(wǎng)絡(luò)安全事件的評估和披露中發(fā)生不當(dāng)拖延,也有可能會受到SEC的相應(yīng)處罰。

5)披露內(nèi)容:

根據(jù)此次更新的要求,重大網(wǎng)絡(luò)安全事件披露應(yīng)側(cè)重于事件的重大影響,而非事件本身的細節(jié),例如應(yīng)包括:

? 事件的性質(zhì)、范圍和時間;

? 對注冊企業(yè)財務(wù)狀況和經(jīng)營成果的影響,或合理的可能影響。

此外,根據(jù)SEC的指引文件,披露內(nèi)容中不應(yīng)包含:

? 詳細的技術(shù)信息,說明事件或網(wǎng)絡(luò)安全系統(tǒng)、相關(guān)網(wǎng)絡(luò)和設(shè)備采取的應(yīng)對計劃;

? 可能妨礙應(yīng)對或補救措施的潛在系統(tǒng)漏洞。

因此,企業(yè)應(yīng)當(dāng)在確保投資人可以全面了解網(wǎng)絡(luò)安全事件情況的同時,避免對內(nèi)部具體信息,如技術(shù)信息、漏洞信息、人員架構(gòu)等進行過度披露,防止攻擊者利用披露內(nèi)容針對性地對企業(yè)開展進一步的網(wǎng)絡(luò)安全攻擊。

6)例外情況:

如果美國司法部長認為,事件披露會對美國國家安全或公共安全構(gòu)成重大風(fēng)險,并在8-K表截止日期前以書面形式通知SEC,注冊企業(yè)可推遲披露的時間。

7)過渡期說明:

? 8-K表和6-K表的披露要求將在《聯(lián)邦公報》發(fā)布之日起九十天后2023年 12月18日(以較晚者為準)起執(zhí)行;

? 小型申報公司(SRC)將有額外的180天過渡期,須在2024年6月15日起開始遵守8-K表的披露要求。

注:

根據(jù)SEC的最新修訂,小型申報公司(SRC)的定義為:(1)公眾持股量低于2.5億美元,或(2)年收入低于1億美元,且:無公眾持股量或公眾持股量少于7億美元。

二、風(fēng)險管理、戰(zhàn)略和治理披露

其次,注冊企業(yè)應(yīng)當(dāng)對企業(yè)的網(wǎng)絡(luò)安全狀況開展定期披露,披露的內(nèi)容包括企業(yè)的(1)網(wǎng)絡(luò)安全風(fēng)險管理和戰(zhàn)略以及(2)網(wǎng)絡(luò)安全治理情況。

1)風(fēng)險管理和戰(zhàn)略:

要求原文:

注冊企業(yè)必須說明其評估、識別和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險的流程(如有),并說明網(wǎng)絡(luò)安全威脅導(dǎo)致的任何風(fēng)險是否對其業(yè)務(wù)戰(zhàn)略、運營結(jié)果或財務(wù)狀況產(chǎn)生重大影響,或在合理判斷下有可能產(chǎn)生重大影響。

披露內(nèi)容:

根據(jù)SEC指導(dǎo)文件中的說明,企業(yè)對風(fēng)險管理和戰(zhàn)略進行定期披露時,應(yīng)當(dāng)包含以下內(nèi)容:

? 評估、識別和管理網(wǎng)絡(luò)安全風(fēng)險的流程(如有),包括是否,及如何將此類流程整合到風(fēng)險管理流程中;

? 此類流程中是否聘用第三方,如評估師、顧問、審計師等,以及是否建立流程,以監(jiān)督和識別第三方服務(wù)提供商的相關(guān)風(fēng)險;

? 企業(yè)的網(wǎng)絡(luò)安全威脅相關(guān)風(fēng)險及過往網(wǎng)絡(luò)安全事件是否對注冊企業(yè)的業(yè)務(wù)戰(zhàn)略、運營或財務(wù)狀況產(chǎn)生重大影響或有可能產(chǎn)生重大影響,如果是,如何產(chǎn)生影響。

此外,SEC還提供了補充說明:

? 風(fēng)險的類型:包括但不限于“知識產(chǎn)權(quán)盜竊;詐騙;敲詐勒索;對員工或客戶的傷害;違反隱私法以及其他訴訟和法律風(fēng)險;和聲譽風(fēng)險”。

? 披露過程中,應(yīng)當(dāng)對事件解決流程,包括分析、識別和管理重大風(fēng)險的方式進行描述,避免直接披露企業(yè)策略及流程等運營細節(jié),防止受到攻擊者利用;

? 企業(yè)無需披露使用的第三方及具體服務(wù)內(nèi)容、風(fēng)險評估的量化指標、企業(yè)適用的網(wǎng)絡(luò)安全框架(如NIST等)、管理層的網(wǎng)絡(luò)安全風(fēng)險討論頻率等信息。

總體來看:

(1)企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全風(fēng)險評估流程并定期開展評估,從而全面識別企業(yè)面臨的網(wǎng)絡(luò)安全威脅、由此產(chǎn)生的風(fēng)險及對企業(yè)的潛在影響,確保信息披露的完整性,幫助投資人有效地全面了解企業(yè)的網(wǎng)絡(luò)安全狀況。

(2)在信息披露的過程中,企業(yè)應(yīng)當(dāng)對SEC要求進行全面了解,從而劃定信息披露的范圍,在確保投資人可以通過信息披露全面了解企業(yè)風(fēng)險管理狀況的基礎(chǔ)上,避免過度披露企業(yè)的實際制度文檔、風(fēng)險管理流程中的真實聯(lián)絡(luò)點等具體信息,防止受到攻擊者的利用,從而開展有針對性地進一步網(wǎng)絡(luò)安全攻擊。

2)網(wǎng)絡(luò)安全治理

要求原文:

注冊企業(yè)必須:

? 說明董事會對網(wǎng)絡(luò)安全威脅風(fēng)險的監(jiān)管方式。

? 說明管理層在評估和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險過程中的職能。

披露內(nèi)容:

? 董事會對網(wǎng)絡(luò)安全威脅所帶來風(fēng)險的監(jiān)督情況。在適用的情況下,指明由何董事會委員會或小組委員會負責(zé)此類監(jiān)督,并說明董事會或此類委員會了解此類風(fēng)險的流程。

? 是否及由哪些管理職位(如首席信息安全官)或委員會負責(zé)評估和管理此類風(fēng)險,以及此類人員或成員的相關(guān)專業(yè)知識,必要時詳細說明專業(yè)知識的性質(zhì);

? 這些人員或委員會了解和監(jiān)督網(wǎng)絡(luò)安全事件的預(yù)防、檢測、緩解和補救流程;以及

? 此類人員或委員會是否向董事會或董事會下設(shè)委員會或組委會報告此類風(fēng)險的相關(guān)信息。

此外,SEC還補充說明:

? 企業(yè)無需披露董事會的網(wǎng)絡(luò)安全專業(yè)知識情況;

? 企業(yè)無需披露企業(yè)管理層及員工的網(wǎng)絡(luò)安全培訓(xùn)情況。

總體來看:

(1)SEC對企業(yè)網(wǎng)絡(luò)安全治理相關(guān)信息的披露要求中主要包含兩個對象,即a.董事會及董事會委員會/組委會,b.網(wǎng)絡(luò)安全管理人員或管理委員會:

? a.董事會及董事會委員會/組委會:應(yīng)當(dāng)監(jiān)督網(wǎng)絡(luò)安全風(fēng)險;在識別網(wǎng)絡(luò)安全風(fēng)險后,負責(zé)人應(yīng)通過一定流程向董事會或董事會委員會/組委會進行上報。

? b.網(wǎng)絡(luò)安全管理人員或管理委員會:負責(zé)網(wǎng)絡(luò)安全風(fēng)險的實際評估和管理,需具有相應(yīng)的專業(yè)知識;負責(zé)網(wǎng)絡(luò)安全事件的預(yù)防、檢測環(huán)節(jié)和補救流程;在發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險時,向董事會或董事會委員會/組委會進行上報。

(2)因此,企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險管理組織架構(gòu),明確相應(yīng)的角色職能,并完善相應(yīng)的風(fēng)險識別、評估、上報流程。

3)過渡期說明:

對于2023年12月15日及以后結(jié)束的財年:

? 美國注冊企業(yè)需根據(jù)S-K法規(guī)第106項,在年報的10-K表中對上述信息進行披露;

? 外國(美國以外)私人發(fā)行人(FPI)需要遵循20-F表格中的類似要求進行披露。

三、結(jié)構(gòu)化數(shù)據(jù)要求

1)要求說明:

委員會要求注冊企業(yè)通過“內(nèi)嵌式可擴展商業(yè)報告語言”(Inline eXtensible Business Reporting Language,簡稱"Inline XBRL")對新披露的信息進行標記,從而使投資者和其他市場參與者更容易獲取披露信息,并提高分析的有效性。

注:

該格式為2021年7月起,在美上市企業(yè)均需遵循的年報披露格式。

2)過渡期說明:

企業(yè)將在首次遵守披露要求的一年后開始遵守結(jié)構(gòu)化數(shù)據(jù)要求。

建議:企業(yè)應(yīng)當(dāng)如何做?

1、建立完善的網(wǎng)絡(luò)安全管理架構(gòu)

? 企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全事件管理架構(gòu),明確網(wǎng)絡(luò)安全風(fēng)險的管理人員及管理責(zé)任。

? 應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理人員及管理小組的風(fēng)險預(yù)防監(jiān)測、風(fēng)險識別、分析上報等職能、董事會及相關(guān)委員會的網(wǎng)絡(luò)安全管理和監(jiān)督職能。

2、實施有效的網(wǎng)絡(luò)安全防護和監(jiān)控

? 企業(yè)應(yīng)當(dāng)通過多種技術(shù)手段加強網(wǎng)絡(luò)安全的防護,減少潛在的網(wǎng)絡(luò)安全威脅、降低風(fēng)險對企業(yè)造成的實際影響。

? 企業(yè)應(yīng)建立有效的過網(wǎng)絡(luò)安全事件的監(jiān)控機制開展全面的監(jiān)控、告警、事件記錄和證據(jù)收集等,協(xié)助企業(yè)更好地控制風(fēng)險并全面快速地獲取事件信息并開展披露工作。

3、制定全面的網(wǎng)絡(luò)安全事件響應(yīng)流程

? 企業(yè)應(yīng)當(dāng)完善事件的標準處理流程,其中包括及時的事件響應(yīng)措施,對影響程度的合理判斷標準等,從而在網(wǎng)絡(luò)安全事件發(fā)生后盡快完成事件的等級劃分,及時判斷事件是否存在披露需求,并在有披露需求的情況下在規(guī)定時間內(nèi)完成上報動作。

? 對于資產(chǎn)量較大的企業(yè),也可以考慮采用第三方SOC服務(wù),從而更加及時有效地發(fā)現(xiàn)安全事件并做出適度響應(yīng)。此外,好的SOC團隊能夠協(xié)助企業(yè)更加全面整體地了解網(wǎng)絡(luò)安全態(tài)勢,在進一步提升網(wǎng)絡(luò)安全水平的同時,也有助于完成SEC的年度披露工作。

4、定期開展網(wǎng)絡(luò)安全風(fēng)險評估

? 企業(yè)應(yīng)當(dāng)開展定期的網(wǎng)絡(luò)安全風(fēng)險評估,方可有效地識別網(wǎng)絡(luò)安全威脅、發(fā)現(xiàn)潛在的安全風(fēng)險、并評估可能對企業(yè)造成的影響,以滿足SEC的年度披露要求。

? 企業(yè)可以選用適用的行業(yè)網(wǎng)絡(luò)安全管理框架,在標準框架的基礎(chǔ)上開展評估、識別風(fēng)險差距,并有針對性地提升網(wǎng)絡(luò)安全水平。

注:

1、見SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure

2、見CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

3、見Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.

4、見Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure

本文是為提供一般信息的用途所撰寫,并非旨在成為可依賴的會計、稅務(wù)、法律或其他專業(yè)意見。請向您的顧問獲取具體意見。

關(guān)鍵詞:

專題新聞
  • 光大同創(chuàng):8月11日融券賣出金額39.12萬元,占當(dāng)日流出金額的0.78%
  • 銀華基金王智偉:政策拐點或已出現(xiàn)
  • 國家中藥材標準化與質(zhì)量評估創(chuàng)新聯(lián)盟常務(wù)副理事長孫曉波:中藥材漲價主要源于供需銜接等三因素
  • 手機相關(guān)知識:瀏覽器下載的文件在哪個文件夾
  • 建筑合同無效的幾種典型情況
  • 大美河南 和諧共生丨高質(zhì)量發(fā)展的“綠意”越來越濃
最近更新

京ICP備2021034106號-51

Copyright © 2011-2020  亞洲資本網(wǎng)   All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com