加强上市公司应对网络安全威胁的能力

美国全国企业董事协会(NACD)、SecurityScorecard和网络威胁联盟发布了一份报告，该报告审查了美国证券交易委员会最近提出的关于上市公司网络安全形势报告要求的规则和修正案。该报告的结论是，如果按照目前的草案颁布拟议的规则，将加强上市公司、基金和顾问打击网络安全威胁和实施风险缓解流程的能力。

NACD内容高级副总裁弗里索·范德奥尔德说：“准备有效披露重大网络风险和事件一直是NACD倡导的网络风险监管的关键原则。SEC在过去一年的行动，加上最近发布的规则，为管理层和董事会在保护投资者和客户，以及美国企业的良好运作方面的关键作用划下了一条线”。

这份报告突显出，SEC加大了对网络安全的承诺，让更多公司承担责任，不仅是对与网络相关的恶劣违规行为，还包括对网络安全风险和事件的误导性公开声明。

该报告引用了最近的几个案例，在这些案例中，SEC采取了行动，因为组织没有提交可疑活动报告(SARS)和披露，或者提供了与网络攻击有关的误导性陈述。这些案例强调了对实际或可疑事件进行分类、上报并向负责公开声明和监管报告义务的公司高层领导报告的重要性。

上市公司网络安全报告要求的拟议规则

近日，SEC发布了针对上市公司的拟议规则，包括在发现后四天内披露任何重大网络安全事件，报告之前变得重大的非重大网络安全事件，以及披露识别和管理网络安全风险的政策和程序。拟议的规则还要求董事会监督公司的网络安全风险和相关政策的实施。

虽然提议的规则并未强制要求部署持续监控解决方案，但SEC对这两套提议规则所需元素的讨论支持此类解决方案。

SecurityScorecard首席业务和法律官萨钦·班萨尔（Sachin Bansal）表示：“目前，大多数组织都缺乏对其供应商生态系统漏洞的持续可见性。企业需要一种自动化、集成和协作的方法来获得这种可见性——这对于业务连续性和遵守SEC制定的新政策和程序至关重要”。

此外，第三方风险仍然是美国证券交易委员会关注的一个关键领域，尤其是对于能够获取机密信息或对运营至关重要的第三方而言。SEC正在考虑采取新措施，要求公司识别可能构成网络安全风险的服务提供商，并追究机构对服务提供商缺乏网络安全措施的责任。因此，公司可能会对涉及供应商和其他第三方的数据安全事件负责，这可能会影响披露义务。

正如拜登政府2021年5月关于改善国家网络安全的行政命令所证明的，这些问题是联邦政府的优先事项。SEC不断加强的网络安全审查也得到了其他联邦机构间合作努力的支持，包括网络安全和基础设施安全局（CISA）、金融稳定监督委员会（FSOC）和公私合作伙伴关系。

网络威胁联盟总裁兼首席执行官迈克尔·丹尼尔表示，“每个组织都面临与网络相关的风险。上市公司适当地披露这种风险，以便投资者能够做出明智的决策，这一点很重要；反过来，更明智的决策会为整个生态系统增加安全性创造市场激励。

“美国证券交易委员会（Securities and Exchange Commission）已明确将提高披露的准确性和数量列为优先事项，上市公司（以及那些希望上市的公司）应予以关注。”