美國SEC發布新規:上市公司信息安全事件應在4天內披露
美國證券交易委員會(SEC)投票公佈一項新規定,加強上市公司發生數據洩露事件時的披露機制,包括披露方式,以及需要在多快時間內披露等。
根據SEC提議中的措施,公司必須在當前的報告文件,包括8-K表格中詳細說明何時遇到了風險,以及採取了什麼策略來應對和管理風險。
調整後的規則還要求公司對於信息安全風險對公司財務狀況的可能影響進行分析。目前,這些調整正在徵求公眾意見。SEC表示,這將幫助投資者更高效地評估信息安全風險,並為此做好準備。
SEC以三比一的投票結果發布了這一調整方案。近期,關於信息安全問題對市場和投資者的潛在影響,監管機構的擔憂正日益加劇。而在多家美國公司遭到高調的信息安全攻擊之後,拜登政府也在加大對這方面問題的關注。
SEC主席加里·詹斯勒(Gary Gensler)週三表示:“我們網絡的互聯互通,對預測式數據分析的使用,以及對數據的渴望只會越來越明顯。這將把我們的金融帳戶、投資和私人信息置於風險中。”“這些信息以往被封閉在公司內部,而投資者想要更多地了解,股票發行人是如何管理這些日益嚴重的風險的。”
SEC表示,週三公佈的新規定還要求定期報告情況,幫助投資者了解已披露的重大信息安全事件的更完整信息。
SEC長期以來一直警告企業,對信息安全攻擊的披露不應僅限於對營收或資產的量化影響,企業還應該考慮理性投資者在做出投資決策時可能考慮的各方面定性因素。
不過,也有SEC委員對方案持不同意見。共和黨委員海斯特·皮爾斯(Hester Peirce)認為,這些舉措超出了SEC的使命。她表示:“這些方案將我們塑造為美國的信息安全指揮中心,但國會並沒有賦予我們這個角色。”
美國商會的湯姆·誇德曼(Tom Quaadman)則表示,他歡迎SEC對信息安全風險管理的關注,但呼籲SEC與美國政府其他信息安全專家交流,“確保政策是支持性的,不會重複。”“作為信息披露監管機構,SEC應該注意不要妨礙國家安全的優先事項,並將重點放在強有力的協調上。”