拟议的SEC网络安全规则对上市公司的影响

2022年3月，美国证券交易委员会(SEC)提出了对其网络安全规则和条例的修正案。拟议的变化将要求报告网络事件和披露网络缓解战略，这两者都将加强首席信息安全官(ciso)和董事会级决策者之间的关系。

这些提议的改变是对上市公司在决定是否披露网络安全漏洞时面临的日益危险的负面激励的回应。在短期内，隐瞒信息似乎是有益的，但从长期来看，会增加企业、投资者和消费者的风险。美国证券交易委员会提出的新网络安全规则解决了这一问题，并为上市公司重新将注意力和资源集中在网络安全上提供了新的机会。

过去的网络安全规则困难

在过去几年中，网络安全事件的公开报道有很大变化。公开披露往往是拖延、不明确和不完整的。由于缺乏统一的报告标准，每家企业在很大程度上都要自己做出最佳判断。然而，这种差异越来越令人担忧网络犯罪持续上升．如果没有准确报告和网络风险缓解战略的环境，决策者就很难建立行业最佳实践。这种集体意识的缺乏导致了不必要的全行业风险，这增加了投资者和客户的担忧。

越来越多引人注目的网络安全入侵事件促使个人更彻底地询问他们与之互动和投资的企业和组织的网络安全实践。证交会的提议反映了对这种困境的理解，并试图通过增强对证券的信心来减少市场波动。当这增加新的挑战对于短期内的商业而言，从长期来看，它有可能导致一个更安全的生态系统。

分解建议的更改

第一个提议的规则将要求企业在发现所有重大网络安全事件后的四个工作日内报告。为了促进这一要求，SEC正在将“网络安全事件”作为披露表单中的一个新的报告类别简报．此外，虽然重大网络安全事件的具体含义存在疑问，但SEC的提案还涉及报告所有可能被视为重大事件的汇总事件，这表明SEC正在认真对待这一主题。

其次，一项新规定将要求企业披露它们用于识别和管理网络安全事件的确切方法。据美国证券交易委员会称，在2021年披露网络安全事件的大多数企业都没有描述已经采取了哪些政策或程序来降低网络安全风险。新提议的规则还要求企业反复提交其“网络安全风险评估计划”的详细描述。此外，该规定还要求董事会报告个别董事会成员拥有网络安全相关专业知识的程度。

对业务的影响

Industrial Defender首席技术官Peter Lund表示:“随着人们对网络安全的日益关注，公司现在必须制定相应的政策和程序来管理网络风险并报告安全事件。这条规则将确保ciso在未来具有董事会级别的可见性。”事实上，这一提案的整体内容将要求上市公司的高级领导层以多种具体方式重新调整网络安全的优先级，否则将面临失去投资者和消费者信心的风险。

新提案预计将对操作技术和工业控制系统安全产生重大影响。在longform描述在拟议的规则中，SEC将“退化、中断、失控、操作技术系统损坏或丢失”列为根据新规则需要披露的第二个事件示例。这是可以理解的，因为关键基础设施公司发现了自己的处境越来越多的有针对性的勒索软件攻击和民族国家利用。

建议

过渡到一个强大的网络安全流程，以满足这些更高的报告要求，可能会给业务领导者和安全运营商带来挑战。然而，现有的解决方案可以简化这些工作，并将SEC的高要求转化为优化组织网络安全实践的机会。执行一个OT网络安全平台将帮助安全团队自动收集安全数据和遵从性报告尽量减少与监管机构沟通政策、程序和总体网络安全态势所需的内部资源。

虽然不同的解决方案适合不同的组织，但有一件事是明确的——网络安全的重要性只会继续增加。美国证券交易委员会最近提出的网络安全报告要求不会是最后一个。组织需要认识到网络安全保护的重要性，特别是涉及到关键基础设施及其运营技术系统时。

-这最初出现在工业卫士网站．工业的后卫是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。