新 SEC 規則對報告駭客攻擊和資料外洩案件設定了時限
SEC 推動更多關於網路攻擊的透明度
美國證券交易委員會(SEC)透過了一項新政策,要求公開公司在發現駭客攻擊和資料外洩事件後的四個工作日內進行報告。這項新政策將影響到公開公司在 Form 8-K 提交的檔案中進行披露。這些公開可查閱的檔案通常向股東提供有關公司的重大變動的訊息,現在它們將增加一個新的 1.05 項,用於報告網路攻擊事件。這個披露應該包括有關“性質,範圍和時間”的訊息以及對公司的“實質影響或合理可能性”的描述。
然而這個四天的報告時限有一個例外。SEC 稱,如果美國司法部長確保向股東發出報告“將對國家安全或公共安全構成重大風險”,則可以延遲披露。此外 SEC 還擴大了一項新的 Regulation S-K Item 106,將包括在公司的年度 Form 10-K 提交檔案中。這將要求企業描述它們“評估,識別和管理網路威脅的重大風險”的過程。公司還必須披露其管理層評估和管理網路攻擊的能力。
SEC 主席加裏·根斯勒(Gary Gensler)在宣告中表示:“無論一家公司是因為火災失去了工廠,還是因為一起網路攻擊而失去了數百萬個檔案,這對投資者來說都可能是重大事件。”“當前許多公開公司向投資者提供有關網路安全的訊息披露。然而我認為,如果這種披露能夠以更一致、可比性和有決策價值的方式進行,這將使公司和投資者都受益。”
最近幾個月,幾家公司成為網路攻擊的受害者,其中包括 Roblox、T-Mobile 和 Google。數百家企業也受到了檔案傳輸工具 MOVEit 的網路攻擊事件的影響,隨著越來越多的公司站出來披露,這個數位還在不斷增加。
SEC 將從 2023 年 12 月 18 日或發布於聯邦登記處的日期之後 90 天開始要求公開公司披露資料外洩事件。與此同時公司必須在 2023 年 12 月 15 日或者之後年度財務年度的 Form 10-K 檔案中披露其網路安全協議。希望這意味著我們能很快更早地得知我們的資料何時遭受侵害。
意見編輯
SEC 將從 2023 年 12 月 18 日或發布於聯邦登記處的日期之後 90 天開始要求公開公司披露資料外洩事件。與此同時公司必須在 2023 年 12 月 15 日或者之後年度財務年度的 Form 10-K 檔案中披露其網路安全協議。希望這意味著我們能很快更早地得知我們的資料何時遭受侵害。
意見編輯
這項新的 SEC 規則對網路攻擊和資料外洩事件的報告時限設定了明確的要求,這將有助於提高公眾對於企業資料安全的關注和透明度。過去,許多公司推遲披露駭客攻擊和資料外洩事件,這不僅增加了投資者的風險,也對公眾的信任造成了損害。SEC 的這一舉措將迫使公司更加積極地保護他們的網路安全,並及時向股東和公眾披露任何安全事件。在數位時代,資料安全問題日益突出,這項新政策是採取必要措施保護公眾利益的一步。
建議
對於公開公司來說確保網路安全並對任何安全事件做出及時披露是至關重要的。企業應該進一步加固他們的網路安全措施,提高對於網路攻擊的應對能力,並建立完善的風險評估和管理機制。此外公司也應該充分理解和遵守 SEC 的披露要求,並在需要時及時向監管機構進行報告。對於投資者和公眾來說瞭解公司的網路安全狀況和任何安全事件的影響也是重要的。投資者應該仔細審查公司的 Form 8-K 和 Form 10-K 檔案,並在必要時就網路安全問題向公司提出相關問題。
