常见问题:SEC新网络安全规则对信息安全意味着领导人

7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。这就是网络安全领导人需要知道。

美国证券交易委员会(sec)采用新规则要求上市公司提交各种披露关于他们的网络安全和风险管理过程,董事会监督和网络事件。

证券交易委员会主席Gary Gensler说在一份事先准备好的声明中:“是否一个公司失去了一个工厂在火灾或数以百万计的文件在网络安全事件——可能是材料给投资者。目前,许多上市公司提供网络安全对投资者的信息披露。然而,我认为企业和投资者都将受益如果这种披露是在一个更一致的,可比,decision-useful方式。通过帮助确保公司网络安全信息披露材料,今天的规则将有利于投资者,公司和市场联系他们。”

成立了这个列表的常见问题(FAQ)通知网络安全领导人对新规则。这个博客在本质上是信息,并不打算取代的指导组织的法律和管理团队。

关于网络安全信息披露SEC采取了什么行动?

7月26日,美国证券交易委员会投票3 - 2采用新规则将需要新的网络安全从上市公司披露的信息。

公司受到影响吗?

规则影响所有在美国上市公司的规则还包括像对外国私人发行人的信息披露要求。

什么类型的网络安全信息披露需要根据新的规则?

上市公司被要求:描述他们的流程评估,识别、从网络安全威胁和管理重大风险;提交一份年度报告他们的网络安全风险管理战略和治理;并公开的网络专业知识组织的管理团队。上市公司还将被要求披露“物质”网络安全漏洞的四天内确定一个事件是“材料。“这将包括相关的未经授权的出现,成为聚合材料。

哪些方面的风险管理过程组织需要描述?

规则要求上市公司描述和张扬他们的流程评估、识别、和管理重大风险从网络安全威胁,包括(但不限于):

• 是否以及如何描述网络安全流程已经集成到组织的整体风险管理系统或流程;
• 是否组织进行评估、咨询师、审计师或其他第三方的任何这样的流程;
• 是否组织过程监督和确定重大风险和其使用相关联的网络安全威胁的任何第三方服务提供者;
• 网络安全威胁的任何风险,包括从先前的事件,已经严重影响了组织;和
• 任何其他材料信息。

所需要的一个组织的董事会在新规则下吗?

上市公司被要求描述风险的董事会监督网络安全威胁和描述的流程董事会通知的风险。注册者还必须描述管理在风险评估和管理材料的作用从网络安全威胁。

网络事件将组织的哪些方面需要披露?

组织被要求报告任何网络安全事件(或相关事件),他们确定在四天的材料使其重要性的确定和描述事件的性质的材料方面,范围和时间,以及它的实质性影响,或合理的实质性影响的可能性,公司。披露应关注风险事件对组织的材料,而不是披露事件的技术细节。规则允许注册人延迟披露长达30天或更长时间如果美国总检察长决定披露将对国家安全造成巨大风险或公共安全。

什么时候新规则生效?

最终规则生效后30天内公布在联邦登记。形成10 - k并形成20 f年报披露将由于开始年度报告财政年结束或之后的12月15日,2023年。形式公布,形成6 k披露将由于开始后90天在联邦注册或出版日期后12月18日,2023年。小型报告公司将有一个额外的180天之前,他们必须开始提供形式公布披露。对符合结构化数据需求,所有注册者必须标记披露要求最终规则内联XBRL开始一年后首次遵守相关的披露要求。

将网络安全领导人需要做什么准备?

网络安全领导人将需要审查风险敞口管理努力和能力提供清晰简洁的通信的高级管理层的努力。他们需要密切配合组织的行政领导总法律顾问和投资者关系团队理解网络风险数据和指标将被要求创建文档提交美国证券交易委员会(SEC)。他们还需要识别和解决他们当前的网络安全策略方面的不足来满足新的信息披露要求。

这些新规则的潜在影响投资者的信心吗?

正如投资者和股票分析师形式判断根据损益表和资产负债表,他们现在可以使用网络安全信息披露形式判断组织的投资潜力基于其预防网络安全工作。提升网络安全规则相同的地位,其他风险管理工作由一个组织,如汇率、利率、地缘政治因素和环境问题。

不遵守的后果是什么公司?

的后果未能遵守SEC披露要求(包括新的网络规则)的范围可以从管理操作,如停止订单和撤销或暂停登记、民事罚款甚至刑事诉讼。例如,上个月美国证券交易委员会发出了威尔士通知许多SolarWinds高管,包括CISO,两年半后SolarWinds违反。据《华盛顿邮报》,井通知通知收件人SEC的可能的意图来起诉他们。这一行动可以证明移动个人负责企业网络安全故障。

了解更多

• 读了LinkedIn发布伦站得住脚的董事长兼首席执行官在这里
• 查看博客,负责网络安全的时代终于到来