【安永洞察】美国SEC网络安全新规发布:在美上市企业的影响与应对
随着技术的发展,网络安全风险对企业的经济活动造成的影响越来越明显。此外,随着网络安全攻击的不断进化,网络安全事件带来的成本和造成的后果也在持续升级。在此背景下,2023年7月26日,美国证券交易委员会(SEC)通过了网络安全披露准则的更新与补充1,对注册企业的网络安全风险管理、战略、治理和事件的披露要求做出进一步的加强和规范,旨在满足投资者对于注册企业网络安全情况的信息需求。
2011年,美国证券交易委员会(SEC)曾发布《2011员工指南(the 2011 Staff Guidance)》2,概述了企业对网络安全风险和网络安全事件可能的披露义务。在此基础上,SEC在2018年发布解释性公告(the 2018 Interpretive Release)3,说明了注册企业对于网络安全风险、治理和重大网络安全事件的披露要求,但由于此次公告中仍未对披露方式、披露时间、披露内容等做出明确的规范化要求,投资人对此类信息的全面获取仍存在较大困难。
本次的更新与补充已于2023年8月4日在联邦公报发布4,并将于发布的三十天后,即2023年9月5日起生效。
此次发布的要求主要包含三个方面的内容:
► 要求注册企业及时披露重大网络安全事件;
► 要求注册企业定期披露评估、识别和管理重大网络安全风险的流程,管理层的评估管理职能,以及董事会的监督职能;
► 相关披露应采用内嵌式可扩展商业报告语言(Inline XBRL)。
这些要求适用于所有的SEC注册企业。大部分外国(美国以外)私人发行人(FPI)需要与美国本土企业遵循同样的要求,仅使用的披露文件表格不同。此外,根据多辖区披露系统(MJDS)要求,加拿大企业(适用于40-F表)可使用加拿大的披露标准和文件满足相关要求。
注:
外国私人发行人(FPI)是指除任何美国以外的发行公司,但以下除外:(1)其50%以上的记录在案的流通的有表决权证券由美国居民持有;(2)符合以下任一条件:(i)其大多数执行官或董事为美国公民或居民;(ii)其50%以上的资产位于美国;或(iii)其业务主要在美国管理。
根据SEC发布的相关要求及指导性文件,安永对此次要求进行了初步的梳理和解读。
一、重大网络安全事件披露
首先,注册企业应当对重大网络安全事件进行及时披露。
1 要求原文:
注册企业必须披露其经历的任何被认定为重大的网络安全事件,并从如下方面描述该事件的重大程度:
► 性质、范围和时间;以及
► 影响或合理的可能影响。
2 披露对象:重大网络安全事件(material cybersecurity incidents)
对于“重大网络安全事件”应当如何判定,SEC在说明文件中给出了相关的定义:
► 网络安全事件:在注册企业信息系统上或通过注册企业信息系统发生的、危及注册企业信息系统或其中任何信息的保密性、完整性或可用性的未经授权的事件,或一系列相关的未经授权的事件。
► 信息系统系指注册企业拥有或使用的电子信息资源,包括由此类信息资源或其组成部分控制的物理或虚拟基础设施,其目的是收集、处理、维护、使用、共享、传播或处置注册企业的信息,以维护或支持注册企业的业务。
► 重要性:取决于投资者对事件影响的合理判断。
由此可以看出:
(1)SEC对“安全事件”的定义范围较广,主要侧重于事件的“未授权”性质,即使事件中可能不存在恶意攻击行为,但如果导致对敏感信息或系统的非授权访问并产生影响,也属于要求所述的“网络安全事件”范围内。
(2)由于网络攻击可能会随着时间推移而复杂化,不一定会作为独立事件出现,SEC并未对上报的事件数量(例如单个事件或多个事件)做出限制。注册企业在进行披露时,应当从重大影响的角度出发,全面说明造成影响的相关事件情况,而非从单个事件的维度出发对其影响进行披露。例如:若单个网络安全事件影响较低,但多个事件结合对企业产生了/可能产生较大影响,注册企业应当对产生该重大影响的多个事件一同进行披露;
(3)SEC对信息系统的定义中涵盖了注册企业“拥有或使用”的系统,说明披露的要求不会受到信息系统的部署位置及所有权的影响,即使企业使用的软件为第三方所有,也不能规避企业对事件的披露义务;
(4)由于类似的安全事件对不同企业的影响也往往会存在较大差异,SEC并未对事件的“重大”程度提出规范的判定方式,也未给出标准的事件披露清单,仅要求注册企业从投资人角度做出“合理”判断后进行披露。因此,企业可以自行制定判定标准,如参考SEC提到的风险类型,从业务战略、运营结果、财务状况、品牌声誉、客户关系等多个方面,定性和定量地对企业受网络安全事件的影响程度进行判断。
3 披露方式:
美国注册企业应通过8-K表进行披露;外国私人发行人(FPI)应通过6-K表进行披露。
4 披露时间:
根据SEC要求,注册企业应在完成网络安全事件重要性判断后的四个工作日内完成披露。若信息不足,可先提交初始的8-K表,并在确定/获得信息后的四个工作日内再次提交修订表。
此处的关键为,SEC所要求的披露时限中的“四个工作日”并非事件发生或被发现起,而是做出重要性判断起的四个工作日内。但这并不意味着企业可以根据实践情况无限地推迟判断及披露动作,根据SEC发布的指引文件说明,企业必须在“没有不当拖延”的情况下确认事件重要性。
总结来看,企业应当建立合理的事件响应流程,确保重大网络安全事件可以得到及时响应和上报。此外,企业应当对重大网络安全事件进行真实、及时和充分的披露,确保投资人可以完整全面地获取网络安全事件信息。
根据SEC过往的执法案例,注册企业违反SEC相关披露控制和程序可能导致企业受到罚款。例如:2021年,某企业因过往对网络安全事件的响应及上报流程不当、披露不能够完整反应事件信息被SEC罚款近50万美元。同年,某企业因网络安全控制和程序披露不当、对投资人造成误导的原因,被罚款约100万美元。若企业在网络安全事件的评估和披露中发生不当拖延,也有可能会受到SEC的相应处罚。
5 披露内容:
根据此次更新的要求,重大网络安全事件披露应侧重于事件的重大影响,而非事件本身的细节,例如应包括:
► 事件的性质、范围和时间;
► 对注册企业财务状况和经营成果的影响,或合理的可能影响。
此外,根据SEC的指引文件,披露内容中不应包含:
► 详细的技术信息,说明事件或网络安全系统、相关网络和设备采取的应对计划;
► 可能妨碍应对或补救措施的潜在系统漏洞。
因此,企业应当在确保投资人可以全面了解网络安全事件情况的同时,避免对内部具体信息,如技术信息、漏洞信息、人员架构等进行过度披露,防止攻击者利用披露内容针对性地对企业开展进一步的网络安全攻击。
6 例外情况:
如果美国司法部长认为,事件披露会对美国国家安全或公共安全构成重大风险,并在8-K表截止日期前以书面形式通知SEC,注册企业可推迟披露的时间。7 过渡期说明:
► 8-K表和6-K表的披露要求将在《联邦公报》发布之日起九十天后或2023年 12月18日(以较晚者为准)起执行;
► 小型申报公司(SRC)将有额外的180天过渡期,须在2024年6月15日起开始遵守8-K表的披露要求。
注:
根据SEC的最新修订,小型申报公司(SRC)的定义为:(1)公众持股量低于2.5亿美元,或(2)年收入低于1亿美元,且:无公众持股量或公众持股量少于7亿美元。
二、风险管理、战略和治理披露
其次,注册企业应当对企业的网络安全状况开展定期披露,披露的内容包括企业的(1)网络安全风险管理和战略以及(2)网络安全治理情况。
1 风险管理和战略:
要求原文:
注册企业必须说明其评估、识别和管理网络安全威胁相关重大风险的流程(如有),并说明网络安全威胁导致的任何风险是否对其业务战略、运营结果或财务状况产生重大影响,或在合理判断下有可能产生重大影响。
披露内容:
根据SEC指导文件中的说明,企业对风险管理和战略进行定期披露时,应当包含以下内容:
► 评估、识别和管理网络安全风险的流程(如有),包括是否,及如何将此类流程整合到风险管理流程中;
► 此类流程中是否聘用第三方,如评估师、顾问、审计师等,以及是否建立流程,以监督和识别第三方服务提供商的相关风险;
► 企业的网络安全威胁相关风险及过往网络安全事件是否对注册企业的业务战略、运营或财务状况产生重大影响或有可能产生重大影响,如果是,如何产生影响。
此外,SEC还提供了补充说明:
► 风险的类型:包括但不限于“知识产权盗窃;诈骗;敲诈勒索;对员工或客户的伤害;违反隐私法以及其他诉讼和法律风险;和声誉风险”。
► 披露过程中,应当对事件解决流程,包括分析、识别和管理重大风险的方式进行描述,避免直接披露企业策略及流程等运营细节,防止受到攻击者利用;
► 企业无需披露使用的第三方及具体服务内容、风险评估的量化指标、企业适用的网络安全框架(如NIST等)、管理层的网络安全风险讨论频率等信息。
总体来看:
(1)企业应当建立完善的网络安全风险评估流程并定期开展评估,从而全面识别企业面临的网络安全威胁、由此产生的风险及对企业的潜在影响,确保信息披露的完整性,帮助投资人有效地全面了解企业的网络安全状况。
(2)在信息披露的过程中,企业应当对SEC要求进行全面了解,从而划定信息披露的范围,在确保投资人可以通过信息披露全面了解企业风险管理状况的基础上,避免过度披露企业的实际制度文档、风险管理流程中的真实联络点等具体信息,防止受到攻击者的利用,从而开展有针对性地进一步网络安全攻击。
2 网络安全治理
要求原文:
注册企业必须:
► 说明董事会对网络安全威胁风险的监管方式。
► 说明管理层在评估和管理网络安全威胁相关重大风险过程中的职能。
披露内容:
► 董事会对网络安全威胁所带来风险的监督情况。在适用的情况下,指明由何董事会委员会或小组委员会负责此类监督,并说明董事会或此类委员会了解此类风险的流程。
► 是否及由哪些管理职位(如首席信息安全官)或委员会负责评估和管理此类风险,以及此类人员或成员的相关专业知识,必要时详细说明专业知识的性质;
► 这些人员或委员会了解和监督网络安全事件的预防、检测、缓解和补救流程;以及
► 此类人员或委员会是否向董事会或董事会下设委员会或组委会报告此类风险的相关信息。
此外,SEC还补充说明:
► 企业无需披露董事会的网络安全专业知识情况;
► 企业无需披露企业管理层及员工的网络安全培训情况。
总体来看:
(1)SEC对企业网络安全治理相关信息的披露要求中主要包含两个对象,即a.董事会及董事会委员会/组委会,b.网络安全管理人员或管理委员会:
► a.董事会及董事会委员会/组委会:应当监督网络安全风险;在识别网络安全风险后,负责人应通过一定流程向董事会或董事会委员会/组委会进行上报。
► b.网络安全管理人员或管理委员会:负责网络安全风险的实际评估和管理,需具有相应的专业知识;负责网络安全事件的预防、检测环节和补救流程;在发现网络安全风险时,向董事会或董事会委员会/组委会进行上报。
(2)因此,企业应当建立网络安全风险管理组织架构,明确相应的角色职能,并完善相应的风险识别、评估、上报流程。
3 过渡期说明:
对于2023年12月15日及以后结束的财年:
► 美国注册企业需根据S-K法规第106项,在年报的10-K表中对上述信息进行披露;
► 外国(美国以外)私人发行人(FPI)需要遵循20-F表格中的类似要求进行披露。
三、结构化数据要求
1 要求说明:
委员会要求注册企业通过“内嵌式可扩展商业报告语言”(Inline eXtensible Business Reporting Language,简称"Inline XBRL")对新披露的信息进行标记,从而使投资者和其他市场参与者更容易获取披露信息,并提高分析的有效性。
注:
该格式为2021年7月起,在美上市企业均需遵循的年报披露格式。
2 过渡期说明:
企业将在首次遵守披露要求的一年后开始遵守结构化数据要求。
建议:企业应当如何做?
1、建立完善的网络安全管理架构
► 企业应当建立完善的网络安全事件管理架构,明确网络安全风险的管理人员及管理责任。
► 应当明确网络安全管理人员及管理小组的风险预防监测、风险识别、分析上报等职能、董事会及相关委员会的网络安全管理和监督职能。
2、实施有效的网络安全防护和监控
► 企业应当通过多种技术手段加强网络安全的防护,减少潜在的网络安全威胁、降低风险对企业造成的实际影响。
► 企业应建立有效的过网络安全事件的监控机制开展全面的监控、告警、事件记录和证据收集等,协助企业更好地控制风险并全面快速地获取事件信息并开展披露工作。
3、制定全面的网络安全事件响应流程
► 企业应当完善事件的标准处理流程,其中包括及时的事件响应措施,对影响程度的合理判断标准等,从而在网络安全事件发生后尽快完成事件的等级划分,及时判断事件是否存在披露需求,并在有披露需求的情况下在规定时间内完成上报动作。
► 对于资产量较大的企业,也可以考虑采用第三方SOC服务,从而更加及时有效地发现安全事件并做出适度响应。此外,好的SOC团队能够协助企业更加全面整体地了解网络安全态势,在进一步提升网络安全水平的同时,也有助于完成SEC的年度披露工作。
4、定期开展网络安全风险评估
► 企业应当开展定期的网络安全风险评估,方可有效地识别网络安全威胁、发现潜在的安全风险、并评估可能对企业造成的影响,以满足SEC的年度披露要求。
► 企业可以选用适用的行业网络安全管理框架,在标准框架的基础上开展评估、识别风险差距,并有针对性地提升网络安全水平。
如需了解更多信息,欢迎联系我们:
注:
1、见SEC–Final Rule-Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure,https://www.sec.gov/rules/2022/03/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
2、见CF Disclosure Guidance:Topic No.2—Cybersecurity(Oct.13,2011),https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
3、见Commission Statement and Guidance on Public Company Cybersecurity Disclosures,Release No.33-10459(Feb.21,2018)[83 FR 8166(Feb.26,2018)],at 8167.
4、见Federal Register:Cybersecurity Risk Management,Strategy,Governance,and Incident Disclosure
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
如欲转载本文,务必原文转载,不得修改,且标注转载来源为:安永中国海外投资业务部官方微信公众号。如需修改内容,需要获得安永的书面确认。