隨著技術(shù)的發(fā)展��,網(wǎng)絡(luò)安全風(fēng)險對企業(yè)的經(jīng)濟(jì)活動造成的影響越來越明顯��。此外��,隨著網(wǎng)絡(luò)安全攻擊的不斷進(jìn)化�����,網(wǎng)絡(luò)安全事件帶來的成本和造成的后果也在持續(xù)升級��。在此背景下��,2023年7月26日��,美國證券交易委員會(SEC)通過了網(wǎng)絡(luò)安全披露準(zhǔn)則的更新與補(bǔ)充[1]���,對注冊企業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略����、治理和事件的披露要求做出進(jìn)一步的加強(qiáng)和規(guī)范,旨在滿足投資者對于注冊企業(yè)網(wǎng)絡(luò)安全情況的信息需求��。
(資料圖片)
2011年��,美國證券交易委員會(SEC)曾發(fā)布《2011員工指南(the 2011 Staff Guidance)》[2]�����,概述了企業(yè)對網(wǎng)絡(luò)安全風(fēng)險和網(wǎng)絡(luò)安全事件可能的披露義務(wù)��。在此基礎(chǔ)上��,SEC在2018年發(fā)布解釋性公告(the 2018 Interpretive Release)[3],說明了注冊企業(yè)對于網(wǎng)絡(luò)安全風(fēng)險��、治理和重大網(wǎng)絡(luò)安全事件的披露要求�����,但由于此次公告中仍未對披露方式����、披露時間、披露內(nèi)容等做出明確的規(guī)范化要求�,投資人對此類信息的全面獲取仍存在較大困難。
本次的更新與補(bǔ)充已于2023年8月4日在聯(lián)邦公報發(fā)布[4]����,并將于發(fā)布的三十天后,即2023年9月5日起生效��。
此次發(fā)布的要求主要包含三個方面的內(nèi)容:
? 要求注冊企業(yè)及時披露重大網(wǎng)絡(luò)安全事件�����;
? 要求注冊企業(yè)定期披露評估��、識別和管理重大網(wǎng)絡(luò)安全風(fēng)險的流程���,管理層的評估管理職能�,以及董事會的監(jiān)督職能;
? 相關(guān)披露應(yīng)采用內(nèi)嵌式可擴(kuò)展商業(yè)報告語言(Inline XBRL)����。
這些要求適用于所有的SEC注冊企業(yè)。大部分外國(美國以外)私人發(fā)行人(FPI)需要與美國本土企業(yè)遵循同樣的要求����,僅使用的披露文件表格不同。此外�����,根據(jù)多轄區(qū)披露系統(tǒng)(MJDS)要求�����,加拿大企業(yè)(適用于40-F表)可使用加拿大的披露標(biāo)準(zhǔn)和文件滿足相關(guān)要求����。
注:
外國私人發(fā)行人(FPI)是指除任何美國以外的發(fā)行公司���,但以下除外:(1)其50%以上的記錄在案的流通的有表決權(quán)證券由美國居民持有��;(2)符合以下任一條件:(i)其大多數(shù)執(zhí)行官或董事為美國公民或居民����;(ii)其50%以上的資產(chǎn)位于美國;或(iii)其業(yè)務(wù)主要在美國管理����。
根據(jù)SEC發(fā)布的相關(guān)要求及指導(dǎo)性文件,安永對此次要求進(jìn)行了初步的梳理和解讀��。
一��、重大網(wǎng)絡(luò)安全事件披露
首先�����,注冊企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進(jìn)行及時披露��。
1)要求原文:
注冊企業(yè)必須披露其經(jīng)歷的任何被認(rèn)定為重大的網(wǎng)絡(luò)安全事件�����,并從如下方面描述該事件的重大程度:
? 性質(zhì)�、范圍和時間;以及
? 影響或合理的可能影響����。
2)披露對象:重大網(wǎng)絡(luò)安全事件(material cybersecurity incidents)
對于“重大網(wǎng)絡(luò)安全事件”應(yīng)當(dāng)如何判定����,SEC在說明文件中給出了相關(guān)的定義:
? 網(wǎng)絡(luò)安全事件:在注冊企業(yè)信息系統(tǒng)上或通過注冊企業(yè)信息系統(tǒng)發(fā)生的����、危及注冊企業(yè)信息系統(tǒng)或其中任何信息的保密性、完整性或可用性的未經(jīng)授權(quán)的事件�,或一系列相關(guān)的未經(jīng)授權(quán)的事件。
? 信息系統(tǒng)系指注冊企業(yè)擁有或使用的電子信息資源��,包括由此類信息資源或其組成部分控制的物理或虛擬基礎(chǔ)設(shè)施�����,其目的是收集�����、處理����、維護(hù)�����、使用、共享���、傳播或處置注冊企業(yè)的信息�����,以維護(hù)或支持注冊企業(yè)的業(yè)務(wù)���。
? 重要性:取決于投資者對事件影響的合理判斷。
由此可以看出:
(1)SEC對“安全事件”的定義范圍較廣����,主要側(cè)重于事件的“未授權(quán)”性質(zhì),即使事件中可能不存在惡意攻擊行為��,但如果導(dǎo)致對敏感信息或系統(tǒng)的非授權(quán)訪問并產(chǎn)生影響�,也屬于要求所述的“網(wǎng)絡(luò)安全事件”范圍內(nèi)。
(2)由于網(wǎng)絡(luò)攻擊可能會隨著時間推移而復(fù)雜化�,不一定會作為獨立事件出現(xiàn),SEC并未對上報的事件數(shù)量(例如單個事件或多個事件)做出限制����。注冊企業(yè)在進(jìn)行披露時�����,應(yīng)當(dāng)從重大影響的角度出發(fā)�,全面說明造成影響的相關(guān)事件情況���,而非從單個事件的維度出發(fā)對其影響進(jìn)行披露����。例如:若單個網(wǎng)絡(luò)安全事件影響較低�,但多個事件結(jié)合對企業(yè)產(chǎn)生了/可能產(chǎn)生較大影響,注冊企業(yè)應(yīng)當(dāng)對產(chǎn)生該重大影響的多個事件一同進(jìn)行披露�;
(3)SEC對信息系統(tǒng)的定義中涵蓋了注冊企業(yè)“擁有或使用”的系統(tǒng),說明披露的要求不會受到信息系統(tǒng)的部署位置及所有權(quán)的影響����,即使企業(yè)使用的軟件為第三方所有,也不能規(guī)避企業(yè)對事件的披露義務(wù)���;
(4)由于類似的安全事件對不同企業(yè)的影響也往往會存在較大差異�,SEC并未對事件的“重大”程度提出規(guī)范的判定方式���,也未給出標(biāo)準(zhǔn)的事件披露清單�,僅要求注冊企業(yè)從投資人角度做出“合理”判斷后進(jìn)行披露����。因此,企業(yè)可以自行制定判定標(biāo)準(zhǔn)�,如參考SEC提到的風(fēng)險類型,從業(yè)務(wù)戰(zhàn)略�、運營結(jié)果、財務(wù)狀況��、品牌聲譽(yù)�����、客戶關(guān)系等多個方面�����,定性和定量地對企業(yè)受網(wǎng)絡(luò)安全事件的影響程度進(jìn)行判斷��。
3)披露方式:
美國注冊企業(yè)應(yīng)通過8-K表進(jìn)行披露�;外國私人發(fā)行人(FPI)應(yīng)通過6-K表進(jìn)行披露。
4)披露時間:
根據(jù)SEC要求����,注冊企業(yè)應(yīng)在完成網(wǎng)絡(luò)安全事件重要性判斷后的四個工作日內(nèi)完成披露�。若信息不足��,可先提交初始的8-K表�,并在確定/獲得信息后的四個工作日內(nèi)再次提交修訂表。
此處的關(guān)鍵為��,SEC所要求的披露時限中的“四個工作日”并非事件發(fā)生或被發(fā)現(xiàn)起��,而是做出重要性判斷起的四個工作日內(nèi)�����。但這并不意味著企業(yè)可以根據(jù)實踐情況無限地推遲判斷及披露動作�,根據(jù)SEC發(fā)布的指引文件說明,企業(yè)必須在“沒有不當(dāng)拖延”的情況下確認(rèn)事件重要性����。
總結(jié)來看,企業(yè)應(yīng)當(dāng)建立合理的事件響應(yīng)流程��,確保重大網(wǎng)絡(luò)安全事件可以得到及時響應(yīng)和上報����。此外,企業(yè)應(yīng)當(dāng)對重大網(wǎng)絡(luò)安全事件進(jìn)行真實、及時和充分的披露��,確保投資人可以完整全面地獲取網(wǎng)絡(luò)安全事件信息�。
根據(jù)SEC過往的執(zhí)法案例����,注冊企業(yè)違反SEC相關(guān)披露控制和程序可能導(dǎo)致企業(yè)受到罰款。例如:2021年����,某企業(yè)因過往對網(wǎng)絡(luò)安全事件的響應(yīng)及上報流程不當(dāng)、披露不能夠完整反應(yīng)事件信息被SEC罰款近50萬美元����。同年,某企業(yè)因網(wǎng)絡(luò)安全控制和程序披露不當(dāng)、對投資人造成誤導(dǎo)的原因,被罰款約100萬美元�。若企業(yè)在網(wǎng)絡(luò)安全事件的評估和披露中發(fā)生不當(dāng)拖延,也有可能會受到SEC的相應(yīng)處罰�����。
5)披露內(nèi)容:
根據(jù)此次更新的要求�,重大網(wǎng)絡(luò)安全事件披露應(yīng)側(cè)重于事件的重大影響���,而非事件本身的細(xì)節(jié)�,例如應(yīng)包括:
? 事件的性質(zhì)、范圍和時間�;
? 對注冊企業(yè)財務(wù)狀況和經(jīng)營成果的影響,或合理的可能影響��。
此外���,根據(jù)SEC的指引文件��,披露內(nèi)容中不應(yīng)包含:
? 詳細(xì)的技術(shù)信息�,說明事件或網(wǎng)絡(luò)安全系統(tǒng)�、相關(guān)網(wǎng)絡(luò)和設(shè)備采取的應(yīng)對計劃;
? 可能妨礙應(yīng)對或補(bǔ)救措施的潛在系統(tǒng)漏洞����。
因此,企業(yè)應(yīng)當(dāng)在確保投資人可以全面了解網(wǎng)絡(luò)安全事件情況的同時��,避免對內(nèi)部具體信息���,如技術(shù)信息����、漏洞信息、人員架構(gòu)等進(jìn)行過度披露����,防止攻擊者利用披露內(nèi)容針對性地對企業(yè)開展進(jìn)一步的網(wǎng)絡(luò)安全攻擊。
6)例外情況:
如果美國司法部長認(rèn)為��,事件披露會對美國國家安全或公共安全構(gòu)成重大風(fēng)險�����,并在8-K表截止日期前以書面形式通知SEC����,注冊企業(yè)可推遲披露的時間�。
7)過渡期說明:
? 8-K表和6-K表的披露要求將在《聯(lián)邦公報》發(fā)布之日起九十天后或2023年 12月18日(以較晚者為準(zhǔn))起執(zhí)行;
? 小型申報公司(SRC)將有額外的180天過渡期���,須在2024年6月15日起開始遵守8-K表的披露要求��。
注:
根據(jù)SEC的最新修訂�����,小型申報公司(SRC)的定義為:(1)公眾持股量低于2.5億美元��,或(2)年收入低于1億美元����,且:無公眾持股量或公眾持股量少于7億美元。
二��、風(fēng)險管理�����、戰(zhàn)略和治理披露
其次��,注冊企業(yè)應(yīng)當(dāng)對企業(yè)的網(wǎng)絡(luò)安全狀況開展定期披露�����,披露的內(nèi)容包括企業(yè)的(1)網(wǎng)絡(luò)安全風(fēng)險管理和戰(zhàn)略以及(2)網(wǎng)絡(luò)安全治理情況�����。
1)風(fēng)險管理和戰(zhàn)略:
要求原文:
注冊企業(yè)必須說明其評估�、識別和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險的流程(如有),并說明網(wǎng)絡(luò)安全威脅導(dǎo)致的任何風(fēng)險是否對其業(yè)務(wù)戰(zhàn)略��、運營結(jié)果或財務(wù)狀況產(chǎn)生重大影響����,或在合理判斷下有可能產(chǎn)生重大影響�。
披露內(nèi)容:
根據(jù)SEC指導(dǎo)文件中的說明�,企業(yè)對風(fēng)險管理和戰(zhàn)略進(jìn)行定期披露時,應(yīng)當(dāng)包含以下內(nèi)容:
? 評估�����、識別和管理網(wǎng)絡(luò)安全風(fēng)險的流程(如有)����,包括是否�����,及如何將此類流程整合到風(fēng)險管理流程中����;
? 此類流程中是否聘用第三方,如評估師�����、顧問��、審計師等,以及是否建立流程����,以監(jiān)督和識別第三方服務(wù)提供商的相關(guān)風(fēng)險;
? 企業(yè)的網(wǎng)絡(luò)安全威脅相關(guān)風(fēng)險及過往網(wǎng)絡(luò)安全事件是否對注冊企業(yè)的業(yè)務(wù)戰(zhàn)略��、運營或財務(wù)狀況產(chǎn)生重大影響或有可能產(chǎn)生重大影響��,如果是����,如何產(chǎn)生影響。
此外��,SEC還提供了補(bǔ)充說明:
? 風(fēng)險的類型:包括但不限于“知識產(chǎn)權(quán)盜竊�����;詐騙�;敲詐勒索;對員工或客戶的傷害�;違反隱私法以及其他訴訟和法律風(fēng)險;和聲譽(yù)風(fēng)險”����。
? 披露過程中����,應(yīng)當(dāng)對事件解決流程����,包括分析、識別和管理重大風(fēng)險的方式進(jìn)行描述��,避免直接披露企業(yè)策略及流程等運營細(xì)節(jié)����,防止受到攻擊者利用;
? 企業(yè)無需披露使用的第三方及具體服務(wù)內(nèi)容�����、風(fēng)險評估的量化指標(biāo)�����、企業(yè)適用的網(wǎng)絡(luò)安全框架(如NIST等)��、管理層的網(wǎng)絡(luò)安全風(fēng)險討論頻率等信息�����。
總體來看:
(1)企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全風(fēng)險評估流程并定期開展評估���,從而全面識別企業(yè)面臨的網(wǎng)絡(luò)安全威脅��、由此產(chǎn)生的風(fēng)險及對企業(yè)的潛在影響�����,確保信息披露的完整性���,幫助投資人有效地全面了解企業(yè)的網(wǎng)絡(luò)安全狀況。
(2)在信息披露的過程中��,企業(yè)應(yīng)當(dāng)對SEC要求進(jìn)行全面了解����,從而劃定信息披露的范圍,在確保投資人可以通過信息披露全面了解企業(yè)風(fēng)險管理狀況的基礎(chǔ)上��,避免過度披露企業(yè)的實際制度文檔��、風(fēng)險管理流程中的真實聯(lián)絡(luò)點等具體信息����,防止受到攻擊者的利用�����,從而開展有針對性地進(jìn)一步網(wǎng)絡(luò)安全攻擊����。
2)網(wǎng)絡(luò)安全治理
要求原文:
注冊企業(yè)必須:
? 說明董事會對網(wǎng)絡(luò)安全威脅風(fēng)險的監(jiān)管方式�����。
? 說明管理層在評估和管理網(wǎng)絡(luò)安全威脅相關(guān)重大風(fēng)險過程中的職能�。
披露內(nèi)容:
? 董事會對網(wǎng)絡(luò)安全威脅所帶來風(fēng)險的監(jiān)督情況。在適用的情況下�,指明由何董事會委員會或小組委員會負(fù)責(zé)此類監(jiān)督,并說明董事會或此類委員會了解此類風(fēng)險的流程�����。
? 是否及由哪些管理職位(如首席信息安全官)或委員會負(fù)責(zé)評估和管理此類風(fēng)險����,以及此類人員或成員的相關(guān)專業(yè)知識�,必要時詳細(xì)說明專業(yè)知識的性質(zhì);
? 這些人員或委員會了解和監(jiān)督網(wǎng)絡(luò)安全事件的預(yù)防�����、檢測、緩解和補(bǔ)救流程��;以及
? 此類人員或委員會是否向董事會或董事會下設(shè)委員會或組委會報告此類風(fēng)險的相關(guān)信息��。
此外�,SEC還補(bǔ)充說明:
? 企業(yè)無需披露董事會的網(wǎng)絡(luò)安全專業(yè)知識情況;
? 企業(yè)無需披露企業(yè)管理層及員工的網(wǎng)絡(luò)安全培訓(xùn)情況�。
總體來看:
(1)SEC對企業(yè)網(wǎng)絡(luò)安全治理相關(guān)信息的披露要求中主要包含兩個對象,即a.董事會及董事會委員會/組委會�����,b.網(wǎng)絡(luò)安全管理人員或管理委員會:
? a.董事會及董事會委員會/組委會:應(yīng)當(dāng)監(jiān)督網(wǎng)絡(luò)安全風(fēng)險�;在識別網(wǎng)絡(luò)安全風(fēng)險后,負(fù)責(zé)人應(yīng)通過一定流程向董事會或董事會委員會/組委會進(jìn)行上報����。
? b.網(wǎng)絡(luò)安全管理人員或管理委員會:負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險的實際評估和管理,需具有相應(yīng)的專業(yè)知識�����;負(fù)責(zé)網(wǎng)絡(luò)安全事件的預(yù)防、檢測環(huán)節(jié)和補(bǔ)救流程����;在發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險時,向董事會或董事會委員會/組委會進(jìn)行上報�����。
(2)因此��,企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全風(fēng)險管理組織架構(gòu)�,明確相應(yīng)的角色職能,并完善相應(yīng)的風(fēng)險識別�����、評估���、上報流程����。
3)過渡期說明:
對于2023年12月15日及以后結(jié)束的財年:
? 美國注冊企業(yè)需根據(jù)S-K法規(guī)第106項�,在年報的10-K表中對上述信息進(jìn)行披露;
? 外國(美國以外)私人發(fā)行人(FPI)需要遵循20-F表格中的類似要求進(jìn)行披露��。
三�、結(jié)構(gòu)化數(shù)據(jù)要求
1)要求說明:
委員會要求注冊企業(yè)通過“內(nèi)嵌式可擴(kuò)展商業(yè)報告語言”(Inline eXtensible Business Reporting Language,簡稱"Inline XBRL")對新披露的信息進(jìn)行標(biāo)記�,從而使投資者和其他市場參與者更容易獲取披露信息,并提高分析的有效性��。
注:
該格式為2021年7月起���,在美上市企業(yè)均需遵循的年報披露格式��。
2)過渡期說明:
企業(yè)將在首次遵守披露要求的一年后開始遵守結(jié)構(gòu)化數(shù)據(jù)要求�。
建議:企業(yè)應(yīng)當(dāng)如何做����?
1、建立完善的網(wǎng)絡(luò)安全管理架構(gòu)
? 企業(yè)應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全事件管理架構(gòu)�,明確網(wǎng)絡(luò)安全風(fēng)險的管理人員及管理責(zé)任。
? 應(yīng)當(dāng)明確網(wǎng)絡(luò)安全管理人員及管理小組的風(fēng)險預(yù)防監(jiān)測�、風(fēng)險識別、分析上報等職能����、董事會及相關(guān)委員會的網(wǎng)絡(luò)安全管理和監(jiān)督職能。
2��、實施有效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控
? 企業(yè)應(yīng)當(dāng)通過多種技術(shù)手段加強(qiáng)網(wǎng)絡(luò)安全的防護(hù),減少潛在的網(wǎng)絡(luò)安全威脅�����、降低風(fēng)險對企業(yè)造成的實際影響��。
? 企業(yè)應(yīng)建立有效的過網(wǎng)絡(luò)安全事件的監(jiān)控機(jī)制開展全面的監(jiān)控�����、告警����、事件記錄和證據(jù)收集等,協(xié)助企業(yè)更好地控制風(fēng)險并全面快速地獲取事件信息并開展披露工作�。
3、制定全面的網(wǎng)絡(luò)安全事件響應(yīng)流程
? 企業(yè)應(yīng)當(dāng)完善事件的標(biāo)準(zhǔn)處理流程��,其中包括及時的事件響應(yīng)措施�����,對影響程度的合理判斷標(biāo)準(zhǔn)等��,從而在網(wǎng)絡(luò)安全事件發(fā)生后盡快完成事件的等級劃分����,及時判斷事件是否存在披露需求��,并在有披露需求的情況下在規(guī)定時間內(nèi)完成上報動作。
? 對于資產(chǎn)量較大的企業(yè)�����,也可以考慮采用第三方SOC服務(wù)����,從而更加及時有效地發(fā)現(xiàn)安全事件并做出適度響應(yīng)。此外�����,好的SOC團(tuán)隊能夠協(xié)助企業(yè)更加全面整體地了解網(wǎng)絡(luò)安全態(tài)勢�,在進(jìn)一步提升網(wǎng)絡(luò)安全水平的同時,也有助于完成SEC的年度披露工作����。
4、定期開展網(wǎng)絡(luò)安全風(fēng)險評估
? 企業(yè)應(yīng)當(dāng)開展定期的網(wǎng)絡(luò)安全風(fēng)險評估����,方可有效地識別網(wǎng)絡(luò)安全威脅����、發(fā)現(xiàn)潛在的安全風(fēng)險�、并評估可能對企業(yè)造成的影響,以滿足SEC的年度披露要求��。
? 企業(yè)可以選用適用的行業(yè)網(wǎng)絡(luò)安全管理框架����,在標(biāo)準(zhǔn)框架的基礎(chǔ)上開展評估、識別風(fēng)險差距����,并有針對性地提升網(wǎng)絡(luò)安全水平。
注:
1����、見SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
2、見CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
3�、見Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.
4、見Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure
本文是為提供一般信息的用途所撰寫���,并非旨在成為可依賴的會計����、稅務(wù)、法律或其他專業(yè)意見��。請向您的顧問獲取具體意見��。
關(guān)鍵詞:
