倒下但未出局：联邦法院限制美国证券交易委员会网络安全执法权

在对美国证券交易委员会（SEC）针对某上市公司实施网络安全执法的尝试予以严厉驳斥后，联邦法官近日驳回了SEC对SolarWinds公司及其首席信息安全官（CISO）提出的大部分指控。该裁决对SEC构成重大挫败，但上市公司及其他受监管机构仍需警惕SEC在网络安全领域持续加强的监管力度。

SolarWinds事件

2023年，美国证券交易委员会（SEC）指控SolarWinds及其首席信息安全官（CISO）涉嫌在明知存在网络安全漏洞的情况下，仍存在欺诈行为及内部控制失效问题。SEC指出，被告方夸大了公司的网络安全措施，同时低估了公司面临的网络安全风险。 据称被告知晓公司网络安全计划中存在的具体缺陷，而这些缺陷在2020年12月公司宣布遭受持续近两年的大规模网络攻击时暴露无遗。攻击事件披露后，SolarWinds股价应声暴跌。

联邦法院驳回美国证券交易委员会的诉讼

上月，审理SolarWinds案件的联邦法官驳回了美国证券交易委员会（SEC）对该公司及其首席信息安全官（CISO）的大部分指控。最重要的是，法院驳回了SEC试图援引《1934年证券交易法》中的内部会计控制条款，以此支持针对上市公司网络安全控制措施的执法行动。

美国证券交易委员会指控称，基于该公司存在缺陷的网络安全计划，SolarWinds未能"设计并维持一套内部会计控制体系"。 这是SEC首次以被告网络安全缺陷为由提起会计控制诉讼。法院认定"内部会计控制体系"仅指企业财务会计系统，不涵盖其网络安全系统。除驳回该项指控外，法院还驳回了多项诉讼请求，仅剩少量诉求得以维持。

主要收获

美国证券交易委员会（SEC）正日益寻求在网络安全领域发挥重要作用。数年前，该机构曾就上市公司在网络安全事件中的披露义务发布指导意见。就在去年，SEC又出台新规，要求及时披露重大网络安全事件，并每年披露网络安全风险管理、战略及治理情况。

美国证券交易委员会还颁布了针对经纪自营商、投资公司、注册投资顾问及其他受监管机构的网络安全政策与程序相关规则。本团队在此处撰写了关于这些政策与程序的说明。

此外，在SolarWinds案的裁决之前（甚至最近在2024年6月），美国证券交易委员会（SEC）曾针对其他上市公司采取执法行动并达成和解，其依据的正是SolarWinds案法官所驳回的同一套内部会计控制理论。

在此背景下，企业应考虑以下要点：

1. 尽管SolarWinds案的裁决对美国证券交易委员会（SEC）而言是沉重打击，但该机构对该公司及其首席信息安全官（CISO）的诉讼仍将继续，只是诉讼理由范围有所缩小。
2. 美国证券交易委员会（SEC）始终高度关注上市公司网络安全执法与监管工作，例如颁布强制披露重大网络安全事件的规则。值得注意的是，该规则并未适用于SolarWinds案件，因为涉案行为发生于该规则生效之前。未来，上市公司应与法律顾问合作，确保遵守SEC针对上市公司的信息披露规则。
3. 经纪自营商、投资公司、注册投资顾问及其他受监管机构应预期美国证券交易委员会（SEC）将持续推进网络安全规则制定与执法行动。SEC已明确表示，其将网络安全视为这些实体面临的重要议题。
4. 因此，受美国证券交易委员会监管的企业和公司应持续投入网络安全项目建设，制定网络安全政策与规程（包括事件响应计划），并对潜在网络安全事件及时展开调查与应对。在这些环节中与可信赖的法律顾问合作，有助于强化企业的网络安全体系并降低风险。