商理 · 解读 |美国证监会提议:针对公众公司实施新的网络安全披露机制
发布时间:2022-04-02
美国证监会提议:针对公众公司实施新的网络安全披露机制
作者:Sophia Hudson/Edward J.Lee/Shaun J. Mathew/Sunil Shenoi
张志胜(译)
● 近期,美国证券交易委员会(简称“SEC”)提议制定规则,首次明确强制要求对重大网络安全事故实时和定期报告,同时,要求定期披露公司网络安全风险管理制度、战略、治理和董事会网络完全专家。
● 公众公司需要与法律顾问和技术顾问一道研判其网络安全事故应对机制,做好准备以满足SEC提议的更加稳健和及时的披露要求,同时又不影响现行应对和补救措施的有效性。
2022年3月9日,SEC提议将制定适用于公众公司网络安全披露机制的新规则。如果拟议新规则被审议通过,将实质性的扩大现行解释性指南内涵,首次明确重大网络安全事故实时和定期强制报告要求,同时,要求定期报告公司识别和管理网络安全风险的制度和程序、管理层在实施网络安全制度、程序和战略过程中的作用以及董事会的监督作用和网络安全专业能力(如有)。
上述拟议规则尚未生效,征求意见期现已开放,考虑到相关政策和投资人对网络安全及相关问题关注度日益提高,拟议规则将可能以与所提议内容整体一致的形式获得审议通过。本文将为公众公司提供拟议规则和关键问题的简要概览,以帮助公众公司建立合理预期以应对上述规则最终施行后。
SEC所提网络安全披露机制概述
拟议规则将要求公司在确定其遭受的网络安全事故为重大事故后四个工作日内提交8-K表格。具体而言,8-K表格披露明目中需要包括:(1)该事故何时被发现及是否在持续;(2)事故的性质和波及范围;(3)是否有任何数据被盗窃、篡改、链接或其他未获授权的使用;(4)该事故对公司运行所产生的影响;以及(5)公司是否已经采取了补救措施或正在进行补救。
拟议规则并未明确如何评价一起网络安全事故的实质性和严重性。相反,就像联邦证券法下其他有关严重性程度的决定一样,将基于所有信息总和来评估网络安全事故的严重性。但是,拟议规则举例示明了可被认定为重大网络安全事故的情形,比如敏感商业信息、知识产权或个人识别信息的突然泄露或被盗、敏感数据被贩卖或公开披露的威胁、病毒软件发出勒索要求。
披露公司网络安全风险管理制度和战略
拟议规则将要求公司在确定其遭受的网络安全事故为重大事故后四个工作日内提交8-K表格。具体而言,8-K表格披露明目中需要包括:(1)该事故何时被发现及是否在持续;(2)事故的性质和波及范围;(3)是否有任何数据被盗窃、篡改、链接或其他未获授权的使用;(4)该事故对公司运行所产生的影响;以及(5)公司是否已经采取了补救措施或正在进行补救。
拟议规则并未明确如何评价一起网络安全事故的实质性和严重性。相反,就像联邦证券法下其他有关严重性程度的决定一样,将基于所有信息总和来评估网络安全事故的严重性。但是,拟议规则举例示明了可被认定为重大网络安全事故的情形,比如敏感商业信息、知识产权或个人识别信息的突然泄露或被盗、敏感数据被贩卖或公开披露的威胁、病毒软件发出勒索要求。
拟议规则同样将要求公司披露更多关于网络安全风险管理战略的信息。具体而言,新规则将修订原规则S-K条款,要求提交关于公司为识别并管理源自网络安全威胁风险的政策和程序的说明(如有),包括:(1)运行风险;(2)知识产权被盗;(3)欺诈;(4)被勒索:(5)损害雇员或客户利益;(6)违反隐私保护法或其他诉讼或法律风险;(7)商誉损失。
此外,拟议规则列举了一系列必须披露的事项,包括关于公司网络安全风险评价项目的说明、公司是否引入第三方机构评估网络安全以及网络安全风险和事故是否可能影响公司财务状况。
披露公司网络安全治理情况
另外,拟议规则将要求披露公司在董事会和管理层层面进行网络安全治理的情况。有关董事会监管方面,拟议规则将要求披露:(1)是否由全体董事会、专门董事成员或董事委员会负责网络安全风险监管工作;(2)向董事会报告网络安全风险的程序以及董事会讨论网络安全议题的频率;(3)董事会或董事委员会是否及在何种程度上将网络安全风险作为其商业战略、风险管理和财务监督工作的一部分。
拟议规则将明确要求披露管理层监管作用,包括:(1)列名负责网络安全的管理层职位,包括公司是否设置首席信息安全官或同等职位;(2)负责人获悉并掌控网络安全事故预防、减损、调查和补救情况的程序;(3)该负责人是否并以何种频率向董事会或相应董事委员会汇报网络安全风险。
披露董事会网络安全管理专业能力
拟议规则还将要求披露董事会成员网络安全的专业技能(如有)。拟议规则并未定义“网络安全专业技能”,但是提供了一些可参考要素,比如有关网络安全的在先工作经历或相关证书 。上述事项将被要求同时在公司任职声明书和10-K表格中同时披露。
安全港
拟议规则中有三个条款存在减轻与拟议新要求相关责任的潜在可能性,首先,未及时披露8-K表格项下重大网络安全事故将可能不会导致S-3表格项下资格的丧失。类似地,未及时披露重大网络安全事故符合有限安全港要求以避免10(b)或10b-5条项下的责任。最后,被披露拥有网络安全专业知识的董事将不会认定为联邦证券法项下的专家----在拟议规则发布过程中,SEC指出,设立本安全港的目的是为了明确拟议规则将不会给拥有网络安全专业知识头衔的董事科加任何更重的责任和义务(相反地,董事会有关网络安全专家的识别,将不会减轻其他任何一位董事的责任和义务)。
对外国私人发行人的适用性
根据拟议规则,上述所有要求将同样整体适用于外国私人发行人。
拟议规则实施后关键问题展
如何总揽有效的网络安全事故应对策略和新的披露要求?
拟议规则要求在确定为重大网络安全事故后四个工作日内披露事故存续情况和关键细节,凸显了下述事项的重要性:(1)事故发生前施行合适的网络安全事故应对预案;(2)事故发生后立即聘请律师顾问。特别是,公司应与律师顾问一道确定事故是否严重到需要提交8-K表格,如果需要披露,如何确保满足SEC要求的同时又不会影响应对和补救计划的有效性。非常有用的一点是,SEC提出拟议规则是 专门指出,公司将不会被要求披露如下具体信息:有关事故响应和网络安全系统、相关网络和设备的具体技术信息,或可能阻碍其应对或补救工作的潜在的系统漏洞信息。
公司是否需要聘请网络安全顾问?
另外,与律师顾问紧密合作对于正在进行的内外部调查工作非常关键,比如,在新规则下,执法部门的调查不再称为迟延披露的理由(不同于政府数据泄露法)。同时,拟议规则广泛征集,有关在律师协议出于国家安全考虑提出要求时公开披露能否延缓问题的意见。我们期望该问题能产生有意义的评价意见,而且能够导致通知要求修改的潜在可能性。
拟议规则并没有指出公众公司网络安全最佳实践模式,也没有规定公众公司必须遵从的网络安全实操方案。但是,拟议规则指出了公众公司网络安全风险管理战略中必须披露的一系列事项(如有可能),以及当强制披露可能影响公司市场活动和投资人预期时,该等事项所能表明SEC关于网络安全事项所秉持的态度。举例而言,SEC之拟议规则要求公司陈述其是否聘请第三方机构进行网络安全风险评估工作,如果拟议规则按提议内容获得通过,公司将不应解读为其必须设置网络安全顾问岗位;相反,我们建议,公司应就其网络安全工作的适当性问题咨询其法律顾问和技术团队,确保披露结果体现董事会和管理层的真实意愿和公司特色的网络安全风险管理方案。
董事会是否需要网络委员会和具有网络专业知识的董事?
相似地,虽然拟议规则将要求披露董事会成员是否具有网络安全专业知识以及网络安全风险管理是否在整个董事会、董事委员会或特定董事的监管下进行,但是,不能将其解读为要求所有公司必须雇佣网络安全专家或建立网络安全委员会。
和其他领域的风险管理一样,董事会应采取有创意且极具公司特色的方式确定有效而且适当的架构监管公司网络安全风险。
咨询服务
咨询电话:010-65259148
相关推荐
