2022年5月9日,针对美国证券交易委员会(the Securities Exchange Commission ,以下简称“SEC”)提出的“关于网络安全风险管理、战略、治理和事件披露要求的拟议规则”,美国银行家协会、银行政策研究所、美国独立社区银行家协会和美国中型银行联盟提出联合意见。
各协会特别强调,网络安全威胁和事件不仅可能危及个别银行及其股东,还会威胁到消费者以及美国金融市场的稳定性。因此,美国网络安全和基础设施安全局(the Cybersecurity and Infrastructure Security Agency,简称“CISA”)将金融服务部门指定为重要的基础设施部门,此次各银行协会也参与了SEC新规的讨论和建议。
关于网络安全风险管理、战略、治理和事件披露要求的拟议规则
2022年3月9日,SEC提出修改现有规则,规范和强化上市公司对网络安全风险管理、战略、治理和事件报告的披露流程。
根据SEC提议中的措施,公司必须在当前的报告文件,包括8-K表格中详细说明何时遇到了风险,以及采取了什么策略来应对和管理风险。
新规定还要求上市公司定期报告情况,尤其是在确定重大网络安全事件的四个工作日内进行信息披露,帮助投资者了解已披露的重大信息安全事件的更完整信息,并要求公司对于信息安全风险对其财务状况的可能影响进行分析。
SEC表示,这将帮助投资者更高效地评估信息安全风险,并为此做好准备。目前,这些调整正在征求公众意见。
各协会就SEC新规提出的联合意见
1、拟议规则没有充分考虑其他政策目标,包括确保注册人的网络安全、保护金融机构的安全和稳健,识别严重网络犯罪的犯罪者并将其绳之以法;
2、拟议规则对8-K表格中重大网络安全事件的披露时间和内容提出了要求,但没有充分考虑此类披露在某些情况下可能造成安全风险和危害。因此建议:
在最终规则中,应将8-K表格中披露网络安全事件的时间更改为“注册人合理确定网络安全事件不再持续、公开披露该事件不会严重危害注册人的安全后”的四个工作日内;
鉴于此类披露会给注册人带来安全风险,不应要求其披露事件的补救程度;
3、拟议规则中概述的某些定义,包括“网络安全事件”和“信息系统”,范围过于广泛,应予以澄清。
此外,各协会表示不支持注册人披露董事会成员的网络安全专业知识的新要求,因为这一拟议的要求会暗示:如果董事会里没有掌握此类特定专业知识的董事,其在某种程度上是有缺陷的。
来源:dataguidance
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。