新的SEC网络安全规则对企业的影响

关键要点

美国证券交易委员会SEC新的网络安全规则自2023年12月18日起生效，要求公司在发现重大网络安全事件后的四天内进行披露。企业在确定事件的实质性损害时，面临挑战，往往需要较长时间才能了解事件的影响。虽然有促进快速报告的建议，但不全面了解事件范围的情况下匆忙披露可能导致问题。企业应在完成初步调查后再启动四天的报告周期，以确保信息的准确与完整。

在去年夏季，美国证券交易委员会SEC首次宣布旨在提升网络安全事件透明度的新网络安全规则时，许多组织对如何有效遵守新规定表示担忧，特别是关于在发现重大网络安全事件后四天内披露的要求。

确定事件的实质性是一项艰巨的任务。各公司的阈值差异很大，很多情况下，面临网络安全事件的公司在事件发生后很久才能了解其损失的程度，往往超出了规定的四天报告期限。

SEC的网络安全规则于2023年12月18日生效，意味着网络安全行业已经适应这些要求超过两个多月。组织目前如何应对这些规则？我们能从已经提交披露的公司中学到什么？

小火箭安卓版下载

虽然两个多月的时间看似不长，但我们已经看到大约十份提交了8K表格，报告了一些重大网络安全事件，包括第一美洲金融公司、loanDepot、微软、惠普企业、威利斯租赁金融公司、南州银行以及保诚金融。

在这些披露中，企业往往选择在没有立即实质性影响的情况下进行报告。到目前为止，大多数这些文件提供的对事件的评估相对笼统，而没有更多的显著细节可以理解的是，攻击者归属或长期影响等问题在SEC要求的短时间内通常难以确定。

提前披露的风险

尽管有些网络安全专业人士主张快速报告，即使没有实质性影响，但匆忙进行8K披露也存在一些风险。

其一，在未完全了解事件的全部范围之前披露事件可能会导致报告过程更加繁琐。第一美洲金融公司在首次提交后不得不进行两次后续更新披露，因为关于事件的更多信息相继浮出水面。

由于SEC没有明确的指导方针说明哪些具体细节应在这些文件中披露，因此这些规则可能导致极为简单泛泛的披露：“X公司遭遇网络攻击，未造成实质性影响，我们正在与第三方合作调查事件。”这种缺乏透明度的标准化回应无法让公司的客户和股东安心，反而违背了网络安全规则的初衷。

最终，企业需要在及时和全面的事件报告之间找到平衡。我们需要优化事件响应流程，使安全团队能够迅速控制威胁，迅速评估事件的实质性影响，并适时告知受影响的实体。虽然这一过程应迅速进行，但不应以牺牲全面详细的调查为代价。公司不希望