美国证券交易委员会就网络安全风险管理、战略、治理及事件披露提出新规

2022年3月9日，美国证券交易委员会（以下简称"委员会"）宣布拟对上市公司网络安全风险管理、战略、治理及事件报告规则进行修订，以加强并规范相关信息披露。

委员会主席加里·根斯勒强调，该提案将"增强投资者评估上市公司网络安全实践及事件报告的能力"。 拟议修订旨在通过强制要求注册人披露其网络安全风险管理、战略及治理措施，并要求及时通报重大网络安全事件，从而提升投资者决策的明晰度。此外，修订草案承认"重大网络安全事件可能引发的潜在成本与损害极为广泛"，进一步凸显了网络安全日益增长的重要性。

该提案目前正公开征求意见，预计将引发投资者、企业及顾问的广泛关注与反馈。赫斯特·皮尔斯委员的反对意见（摘要如下）预示了针对拟议修订可能提出的若干论点，包括强制性事件报告可能损害注册机构及其利益相关方的权益，而披露要求实为强制推行特定治理目标的变相手段。

背景介绍

尽管某些联邦和州法规及法律可能要求披露网络安全信息，但《S-K条例》和《S-X条例》目前均未包含明确要求披露网络安全信息的条款。然而，公司财务部于2011年发布了解释性指引，阐明了其对注册人网络安全披露义务的观点，并于2018年发布了后续解释性指引（2018年解释性公告）。 2018年解释性公告指出，《S-K条例》和《S-X条例》可能要求在以下各项中披露网络安全信息：

1. 风险因素（第105项）
2. 管理层对财务状况和经营成果的讨论与分析（第303项）
3. 业务描述（第101项）
4. 法律程序（第103项）
5. 公司治理（第407项）
6. S-X条例财务披露

在讨论拟议修订时，委员会指出，约94%的10-K表申报企业在"风险因素"部分披露了网络安全信息，但在"业务描述"和"管理层讨论与分析"部分进行此类披露的企业比例分别仅为21%和10%。

摘要

拟议的修订将：

1. 8-K表格事件报告修订8-K表格，新增第1.05项要求：注册人须在认定发生重大网络安全事件后四个工作日内（而非发现事件之日）披露相关信息。
   • 第1.05项要求注册人披露以下信息：(a) 事件发现时间及是否仍在持续；(b) 事件性质与范围的简要描述；(c) 是否存在数据被窃取、篡改、访问或用于其他未经授权目的的情况； (d) 该事件对注册人运营的影响；以及 (e) 注册人是否已采取补救措施或正在处理该事件。
   • 若被认定为重大事件，可能触发第1.05项披露的网络安全事件示例包括：(a) 未经授权的事件导致信息资产的保密性、完整性或可用性受到损害；(b) 未经授权的事件导致运营技术系统性能下降、中断、失控、损坏或丢失； (c) 未授权方访问并篡改或窃取敏感商业信息、个人身份信息、知识产权或可能导致注册人承担责任的信息的事件；(d) 恶意行为者试图出售或威胁公开披露敏感公司数据的事件；(e) 恶意行为者要求支付赎金以恢复被窃取或篡改的公司数据的事件。
   • 该提案规定，根据第1.05项规定未能及时提交8-K表格，不会导致丧失提交S-3表格或SF-3表格的资格。
   • 报告截止日期不得因任何原因延期，包括因网络安全事件的调查仍在进行中。


2. 事件报告的持续更新修订10-Q表和10-K表，要求注册人就先前披露的网络安全事件提供更新披露信息；同时修订10-Q表和10-K表，要求当一系列先前未披露的、单独来看不具重大意义的网络安全事件在总体上达到重大程度时进行披露。
   • 委员会指出，拟议修订的目标在于平衡及时披露的必要性与注册人提交8-K表格时可能尚未掌握网络安全事件完整信息这一事实。
   • 此类披露的示例如下：(a) 该事件对注册人运营及财务状况的任何重大影响；(b) 该事件对注册人未来运营及财务状况的任何潜在重大影响； (c) 注册人是否已采取补救措施或正在处理该事件；以及 (d) 因网络安全事件导致注册人政策和程序的任何变更，以及该事件如何促成此类变更。


3. 政策与治理披露修订10-K表格，并增补S-K条例第106节，要求披露以下事项：
   1. 注册人（如有）用于识别和管理网络安全风险的政策和程序，包括其使用任何第三方服务提供商相关的网络安全风险，其中应披露：
      • 注册人是否设有网络安全风险评估计划，若有，请描述该计划。
      • 注册人是否在其网络安全风险评估计划中聘请评估师、顾问、审计师或其他第三方
      • 为预防、检测和减轻网络安全事件影响所采取的措施
      • 注册人是否制定了在发生网络安全事件时的业务连续性与灾难恢复计划
      • 以往的网络安全事件促使注册人对其治理结构、政策与程序或技术进行了调整。
      • 网络安全相关风险和事件是否已影响或合理可能影响注册人的经营成果或财务状况
      • 网络安全风险是否被视为注册人业务战略、财务规划及资本配置的一部分
   2. 注册人的网络安全治理，包括董事会对网络安全风险的监督职责，涵盖：
   • 整个董事会、特定董事会成员或董事会委员会是否负责监督网络安全风险
   • 董事会了解网络安全风险的流程，包括此类讨论的频率
   • 董事会或董事会委员会是否将网络安全风险纳入其业务战略、风险管理及财务监督范畴，以及具体考量方式。
   3. 管理层在评估和管理网络安全相关风险以及实施相关政策、程序和策略中的作用及相关专业能力，包括：
      • 谁负责衡量和管理网络安全风险，无论是特定的管理职位还是委员会？
      • 注册人是否已指定首席信息安全官或与其职位相当的负责人，以及该负责人的专业能力——需"详细描述其专业能力的具体性质"。
      • 此类人员或委员会了解并监督网络安全事件预防、缓解、检测和补救的流程
      • 此类人员或委员会是否以及以何种频率向董事会或董事会下属委员会报告网络安全风险。


4. 董事会网络安全专业能力：修订S-K条例第407项，要求披露注册人董事会成员是否具备网络安全专业知识，包括是否拥有网络安全领域从业经验、网络安全相关认证或学位，以及董事是否具备网络安全知识或其他相关背景。


5. 适用于外国私人发行人的适用性修订表格6-K，根据通用说明B将"网络安全事件"作为报告主题；修订表格20-F，要求外国私营发行人在其年度报告中披露网络安全信息。
   • 这将要求披露与S-K条例第106条和第407(j)条所提议的相同类型的信息，该要求与国内注册人所需披露的信息相同。


6. 内嵌式XBRL（内嵌式可扩展商业报告语言）标记：表格8-K的第1.05项以及第106项和第407(j)项要求采用内嵌式XBRL标记，包括对叙述性披露内容的详细标记。

异议之声

皮尔斯委员就该提案撰写了反对意见书，指责拟议的修订条款实质上是在指导或制定发行人网络安全计划的预期标准清单，或干预发行人的公司治理，却仍伪装成标准披露要求。为支持其立场，皮尔斯委员援引了相关要求中涉及的高度细节化程度。

皮尔斯委员还对拟议的事件报告要求表示担忧。她指出，问题的根源在于委员会"过度轻视了与联邦政府及州政府合作伙伴协作、有时甚至需要顺应其意见的必要性"。 皮尔斯委员预见，延迟披露重大事件反而可能保护投资者，例如"增加追回被盗资金的几率"，并批评现行报告要求不允许此类延迟。

拟议修订对注册人的潜在影响

拟议修订可能产生某些未预见的后果，注册人应立即着手评估，尽管最终规则可能与提案存在差异。因此，注册人需审慎考量拟议修订对信息披露的影响，并制定相应措施以确保合规并降低网络安全风险。

1. 修订网络安全事件响应计划：为满足拟议修订案规定的披露义务及时限要求，注册人需审查其网络安全事件响应计划，并在必要时进行修订，以确保具备快速评估和升级网络安全事件的能力。此外，注册人应定期测试此类计划，包括为及时充分报告网络安全事件所需采取的措施，确保符合所有披露要求。 测试应涵盖管理层及董事会成员（如适用），以确保组织具备履行网络安全事件相关披露义务的能力。


2. 第三方管理：拟议修订案将为依赖"第三方服务提供商提供信息技术服务"的注册人增加额外合规风险。鉴于修订案涵盖注册人"拥有或使用的所有信息资源"，这在某种程度上几乎涉及所有注册人。多数第三方服务提供商合同对是否及何时向客户报告网络安全事件存在不同程度的合同义务。 即便第三方服务提供商合同中规定了更严格的报告义务，最终判断网络安全事件是否构成重大事件并需披露的责任仍由注册人承担，而非第三方服务提供商。因此，注册人应全面审查所有第三方服务提供商及其合同条款，以明确现有服务协议能否保障其履行披露义务的能力。 一旦新披露规则最终确定，注册人可能需要修订现有合同，并确保未来合同包含网络安全和数据隐私方面的全新要求。注册人还可能需要开展额外或更严格的尽职调查，包括对所有相关第三方服务提供商进行网络安全和隐私风险评估及审计。 注册人还应考虑建立或重新审视现有的第三方服务提供商管理计划，确保这些第三方能及时提供充分信息，以便注册人评估事件并自行决定是否需要披露。注册人还应考虑第三方提供商可披露或可能披露的事件信息范围。 当涉及具有自身披露义务的第三方服务提供商时，情况将更为复杂——作为注册方的客户需评估第三方披露行为对其自身披露分析的影响。注册方还应做好终止协议的准备，若第三方服务提供商无法满足新增披露要求。


3. 网络安全风险：拟议修订案要求的披露细节需注册人全面公开其网络安全风险管理政策与流程，以及任何网络安全事件。尽管修订案意在推动注册人完善政策流程，但注册人需权衡此类披露可能为威胁行为者提供设计定向攻击的依据——使其能针对潜在漏洞发起攻击并规避检测。 在完全遏制和修复前披露正在发生的攻击细节，可能使威胁行为者进一步侵害脆弱组织及受影响的个人与实体。这亦可能影响注册人遏制和修复攻击的能力——当注册人需披露正在发生的事件信息时，或被要求披露是否遭受勒索软件攻击及其应对策略时，此类披露要求将构成阻碍。


4. 诉讼风险：拟议修订案要求，在认定某事件构成重大网络安全事件后四个工作日内，须披露以下信息：网络安全事件的发现情况、事件性质与范围、是否存在数据被窃取、篡改、访问或用于任何其他未经授权的目的、事件对注册人运营的影响，以及事件的补救进展。 该披露义务可能早于向个人、州总检察长、其他监管机构及潜在受影响方发送数据泄露通知，以及履行其他法定披露义务。由于披露时点通常早于注册人完成调查，且事件全貌尚未完全明晰，此类早期披露可能引发法律责任。 这可能导致注册机构在尚未全面掌握事件影响范围及组织受损程度前即面临诉讼，并可能影响与正在进行的调查相关的律师-客户保密特权。同时，此举亦可能影响依据适用数据泄露保护及通知法规履行数据泄露通知义务时的分析准确性与时效性。