全方位、全流程、一站式企业境外上市辅导服务机构

行业动态

解读美股网络安全披露新规:平衡风险与合规!

发布日期:2023-08-24 13:58:38
历来企业都低估了网络安全风险的严重程度,美国证券交易委员会(SEC)认为,上市公司加强企业网络安全风险的披露正在提升日程。因此,上市公司如何准备和防御网络入侵对其运营、声誉和利润产生深远影响,正在成为不容妥协的优先事项。

美国证券交易委员会刚刚采取措施,确保在美上市公司不仅意识到自己的网络安全风险,而且还要代表股东采取措施对其进行管理,并要及时报告公司运营中发生的绝大多数事件。
新的SEC安全法规
美国证券交易委员会的新规则非常激进,旨在增强问责制和透明度,要求所涉及的公司在四个工作日内披露重大网络安全事件,并要求公司在年度报告中定期披露网络安全风险管理、战略和治理。这代表着企业现在管理网络安全风险的方式发生了深刻的监管转变,也证明了人们日益认识到网络安全是企业充分合规的核心组成部分。
新推出的 8-K 表第 1.05 项要求公司披露“重大网络安全事件”和“事件的性质、范围、时间安排以及对运营、收入或股价影响的重大方面”。新法规 SK 第 106 条要求公司提供有关其网络安全风险管理、战略和治理的详细披露。
特别是,美国证券交易委员会现在要求公司描述其“评估、识别和管理网络安全威胁带来的重大风险的流程,以及网络安全威胁带来的任何风险(包括之前任何网络安全事件造成的风险)是否对公司产生了重大影响或影响”。这些都很可能对美股注册人产生重大影响。
美国证券交易委员会的此举标志着与其之前不包含类似要求的法规的重大背离。可以说,这些新规则最重要的要点之一是要求公司创建书面记录来记录其网络安全计划。这一要求的实际影响是允许股东、美国证券交易委员会,当然还有原告律师获得反映公司致力于管理其网络安全风险的证据。它为追究未能正确管理这些风险的公司的责任奠定了基础。
满足这些新要求并不是一件简单的任务。以下是我们预计的主要挑战。
SEC网络安全规则让董事会陷入困境
第 106 条还要求公司“描述董事会对网络安全威胁风险的监督,以及管理层在评估和管理网络安全威胁重大风险方面的作用和专业知识”。因此,有效的合规性远远超出了简单地创建一份文件提交给 SEC 的范围。
它要求公司明白,仅仅制定政策和控制措施并不足以表明其董事会正在对网络安全计划进行适当的监督。虽然此类政策、控制和治理至关重要,但董事会还必须能够证明他们已经对当前形势进行了独立评估,包括需要解决安全问题的差距。
在不向攻击者通风报信的情况下披露事件
同样重要的是,最有效的监管备案将在遵守规则和限制任何无关的技术信息之间取得适当的平衡,这些信息可能会让网络犯罪分子发现现有的差距,或者从过去的经验教训中为他们提供任何不必要的优势。
新规则实际上要求:董事制定可靠的书面文件作为合规的切实证据。他们还需要投入大量额外的资源来完成这项任务,同时占用内部安全团队的时间。
在网络入侵期间,需要在四个工作日内就是否披露、何时披露以及披露内容做出极其困难的决定 - 可能是在公司仍在调查入侵范围并试图确保威胁行为者已完全被被逐出公司系统。
如果做得不当,所要求的早期披露可能会产生意想不到的负面后果,包括市场混乱,并可能为攻击者提供公司所知道(但尚未发现)的有关正在发生的事件的入门信息。反过来,威胁行为者可能会以有害的方式做出反应,例如修改其 TTP 并采取新措施来阻止公司执行有效的补救措施。
如何定义重大事件
尽管如此,在这些新报告要求的背景下,另一个令人烦恼的问题是什么构成“重大事件”。
作为网络安全背景下的证券法问题,缺乏指导。公司只能依赖几十年前关于非网络环境中“重要性”定义的事先指导。新的指南指出,如果“合理的投资者很可能认为该事实显著改变了可用信息的‘总体组合’,则错误或遗漏是“重大的”。” 
网络事件中“重要性”的确切含义的不确定性表明,美国证券交易委员会将寻求根据该规则发起执法行动,声称公司“未能”正确及时地披露信息,原告律师协会也将同样寻求网络事件发生后民事诉讼的目标。
平衡合规性与保护敏感信息
保证敏感信息受到保护,同时确保公司证明合规性,需要取得微妙的平衡。在进行内部政策和报告审查、准备报告草案以找出差距和解决建议时,考虑如何以及何时发挥律师-委托人特权(既属于公司沟通的特权,又属于董事会专有的特权)他们,确定使用哪些外部供应商并与他们沟通,以及网络准备的相关方面。在响应实际入侵的背景下,这些问题更加突出,公司的内部和外部法律职能部门、CISO 和取证供应商发挥着关键作用,特别是在发现后的最初几个小时和几天内。
审查网络合规工具和服务
认识到所面临的复杂挑战,公司及其董事会应考虑并部署增强的工具和服务,以证明他们正在履行网络安全义务。网络合规工具和服务的设计必须考虑到定制。目标不仅仅是满足新的监管要求,而是增强整体安全态势。
例如,桌面演习是模拟场景,旨在评估公司对潜在网络安全事件的响应,并识别其安全态势中潜在的监管和法律漏洞。这些演习是为每家公司量身定制的,涉及相关利益相关者,包括董事会成员、人力资源、业务、法律、IT、风险、合规和运营团队。至关重要的是,这些演习由独立第三方进行,并提供了遵守网络安全监管义务的切实证据。
美国证券交易委员会的新规则标志着企业网络安全管理的转变。这些规则虽然具有挑战性,但却为公司提供了展示其管理这些风险的承诺的机会。
借助正确的工具、服务和建议,企业不仅可以遵守这些新规则,还可以增强其整体网络安全态势,从而保护其运营、声誉和利润。

关于宏业金融IPO辅导咨询服务


上市是公司发展历程中的一个变革性里程碑。作为行业领先的美国首次公开募股(IPO)咨询辅导机构,宏业金融为中国大陆、泛亚太地区的公司提供咨询顾问服务,并帮助他们做好首次公开募股(IPO)的成功准备。宏业金融作为值得信赖的上市辅导顾问,从始至终指导公司,对企业进行战略定位,以在更短时间内实现其在美上市融资目标。


- END -



宏业金融声明:宏业金融集团为开曼群岛合法注册公司,是知名中国企业赴美国、境外IPO上市和融资专业辅导服务机构。我们在中国大陆以“弘业财务咨询(深圳)有限公司”为主体开展业务合作,为国内中小企业境外上市、赴美上市和海外融资提供全流程咨询辅导服务。欢迎朋友们基于非商业性用途分享或转载本公众号内容,但请注明出处。文章并不代表宏业金融观点和立场,不构成投资购买或建议,不具有完全指导作用。文章中可能有部分数据、资料及配图来源于其他专业权威媒体的网络公开报道,侵删!



上一篇:在赴美上市招股书中,新冠病毒仍作为风险因素披露!
下一篇:随着市场解冻,越南“小腾讯”迫不及待地提交纳斯达克上市申请!