美国证券交易委员会 (SEC) 新规:上市公司如遇重大网络安全事件必须上报
美联社资料图 美国中文网报道 据媒体周五报道,证券交易委员会 (SEC) 本周通过了一项规则,要求上市公司报告对投资者的重大网络事件。自发现有重大网络安全事件后,公司将有四个工作日的时间向该机构报告。 SEC主席加里•根斯勒 (Gary Gensler) 在一份声明中表示:“无论一家公司在火灾中失去一家工厂,还是在网络安全事件中失去数百万份文件,这对投资者来说都可能很重要。” “目前,许多上市公司向投资者提供网络安全披露。然而,我认为,如果这种披露以更加一致、可比和对决策有用的方式进行,公司和投资者都会受益,”他补充道。 根据新规则,公司必须披露事件的性质、范围、时间和影响。公司还必须解释他们评估、识别和管理网络威胁风险的流程。 Teleport 安全副总裁里德•洛登 (Reed Loden) 表示,这项规定姗姗来迟,也是业界长期以来所需要的。他说:“我希望这项规定能够成为所有组织对其事件保持公开和透明的催化剂,并尽可能多地分享信息。” “共享信息意味着其他组织可以从错误中吸取教训,以更好地解决自己的问题,”他补充道。 洛登还表示,虽然该裁决是一个很好的起点,但也留下了一些悬而未决的问题,即从公司的角度来看什么被视为“重大”,因为让公司自行决定,从而创造一些回旋余地。 “我怀疑我们会发现一些组织可能不太愿意披露信息,因此,如果发现某些公司未能披露严重的安全事件,我们需要观察 SEC 将采取多大的力度来应对,”他说。 他补充说,许多公司可能会将这项新规定视为他们现在必须遵守的另一项监管规定,但对于投资者和消费者来说,将帮助他们了解公司如何处理内部安全问题。 去年,国会通过了一项立法,要求关键行业的公司在72小时内向网络安全和基础设施安全局报告重大网络攻击,并在24小时内向网络安全和基础设施安全局报告勒索软件付款。这项立法是在联邦政府机构对安全问题日益担忧之际通过的。 |
