新的网络安全报告规则将如何影响上市公司

关键要点

• 美国证券交易委员会 (SEC) 于 7 月 26 日正式通过了针对上市公司的网络安全事件报告新规。
• 该规则要求上市公司在发生“重大”网络安全事件时，在四个工作日内报告，并每年披露网络安全风险管理和治理情况。
• 尽管这些新规对于公司管理层可能带来压力，但其主要目的是保护投资者的利益。

在 12月中旬生效的新规将要求上市公司迅速报告“重大”网络安全事件，并每年汇报其网络安全风险管理和治理情况。乍一看，这条规则似乎合情合理，但须视其受益对象——投资者。

让我们详细了解这些规则的具体内容。根据新规定，组织需要完成以下事项：

• 在确定事件为“重大”后的四个工作日内，在“8-K 表格”上报告事件。
• 描述事件的性质、范围及发生时间，以及对公司的重大影响或可能造成的重大影响。
• 披露其合规计划和程序。

目前，大部分首席信息安全官 (CISOs) 的疑虑在于这些新要求的有效性，以及其是否最终会造成更多的伤害。

时间将证明这条规则的有效性

近期我阅读了许多关于 SEC网络安全事件报告新规的文章和评论，许多人对这将给管理团队带来的负面影响表示担忧，同时也指出了CISOs与网络安全团队将面临的战术挑战。一些安全领导者表达了如下观点：

• “我们如何能在四天内评估和报告一个事件？”
• “这会让其他不法分子在我们最脆弱的时候攻击我们！”
• “如果我们过早报告，结果只是虚惊一场怎么办？”
• “如果我们认为这不是大事，后来发现问题严重，而错过了报告截止日期，会不会被指责疏忽？”
• “哎呀，天都要塌下来了！SEC怎么就对我们管理团队的痛苦熟视无睹？”

所有这些担忧从公司的角度出发都是合理的。然而，如果我们承认 SEC 其实不太关心公司的状况，而更关注投资者，就会发现新规的实施显得更加合情合理。

以 SEC 主席加里·根斯勒（GaryGensler）的一句话为例：“通过帮助确保公司披露重大网络安全信息，今天的规则将惠及投资者、公司以及连接二者的市场。”

首先，“帮助确保”这个措辞显得比“强制要求”来得柔和。然而抛开这点不谈，这些规则的主要目的是保护和造福投资者。我认为，这些规则实际上并不会直接帮助公司，除非你相信“合规要求推动实际安全结果”这一观点。

换句话说，通过增加公司管理团队在未及时披露重大事件时所面临的风险，这将迫使这些公司在网络安全和事件管理方面进行更多投资。在这种情况下，毫无疑问新规将惠及公司。

但真正受益者是投资者。对投资者而言，公司只是表现优劣不一的资产，他们关注的是资产的财务表现，而并不关心公司管理层的压力有多大或事件报告决策的复杂程度。

这条新规并不是在这个夏天突然制定的。SEC在此方面经过了较长的时间进行研究，并且公司在这个过程中也提供了相当多的意见。通过要求公司在四天内报告重大事件，SEC希望为投资者创造公平竞争的环境，减少内幕交易对投资者投资组合的负面影响。

同样，要求公司更全面地报告他们的网络安全策略和治理情况，也能让公众更好地了解他们投资面临的潜在风险。

理解事件披露规则

这些事件披露规则是否合理？对投资者而言，毫无疑问是合理的。模糊的“重要性”定义是否会引起困惑并需要时间来完善？这确实有可能，尽管一个事件是否会对股价产生负面影响并不是一个难以理解的概念。另一方面，“重要性”对不同企业的含义也各不相同。

这个规则能否改善管理层与董事会之间的沟通？这仍有待观察。SEC 确实加大了对董事会和管理层的压力，要求他们及时、全面地评估事件，并公开披露可能影响