跳转至主要内容
我们能帮您查找什么?
main content, press tab to continue
文章

数字时代挑战:企业如何应对网络安全威胁?SEC最新规定释放重磅信号!

作者 Dominic Keller, CISSP 以及 Jason D. Krauss | 2023年8月7日

美国证券交易委员会(SEC)颁布了规定,要求所有上市公司在确认网络安全事件具有重大影响后的四天内披露相关信息。
Cyber-Risk-Management-and-Insurance|Financial, Executive and Professional Risks (FINEX)
N/A

美国证券交易委员会(SEC)于今年3月宣布了一系列旨在保护金融系统免受网络安全事件影响的政策,随后于7月26日颁布了规定,要求所有上市公司在确认网络安全事件具有重大影响后的四天内披露相关信息。如果美国司法部长认定立即披露会对国家安全或公共安全构成重大风险,披露可以最多延迟至60天。这些规定要求企业披露网络安全事件的性质、范围、时间以及对公司可能造成的实质性影响。

此外,企业还需要描述其评估、识别和处理网络安全威胁的流程,并在年报( annual 10-K filing)中披露这些信息,包括在进行的或持续进行的补救措施。

这些规定最初是在2022年3月被提出的,当时SEC认定企业面临的网络威胁正在持续升级,随着企业数字化运营和远程办公的增加,网络安全事件给投资者带来的损失也在增加。

“SEC主席Gary Gensler在一份声明中表示:“不管是企业失火导致工厂损毁,还是网络安全事件导致数百万文件丢失,这都可能对投资者产生实质性影响。”他指出目前披露的信息存在不一致性。而据穆迪公司的高级副总裁Lesley Ritter表示,这些规定将进一步增加上市企业信息披露的透明度,同时也将促进企业网络安全防护措施的改善。

韦莱韬悦提示您在企业网络安全风险管理方面应当注意以下几点

  1. 对于所有受SEC监管的上市公司,需确保网络安全保险保障范围包含监管执法的内容。通常,保单中定义的监管行动包含了监管的执法行动、调查传票等,与上述监管行动相关的抗辩费用需纳入保险的保障范围。
  2. 需要注意的是,报告网络入侵的四天窗口期是从企业确定入侵具有重大影响时开始计算的。因此,企业内部必须拥有强有力的跨部门协调能力,确保关键利益相关者能够迅速判断发生的网络入侵事件是否具有重大影响性,一旦确定,就需要及时对该事件的“性质、范围和时间”进行报告。而对于投保了网络安全保险的企业而言,及时发现和报告网络入侵事件,对于保险公司而言也至关重要,及时通知保险公司网络入侵事件可以有效避免延迟通知或不完整的报告导致的保险理赔纠纷和其他潜在的法律风险。
  3. 为了遵守SEC的相关规定,上市公司需尽快建立 “评估、识别和处理网络安全风险”的响应流程。此外,SEC要求上市公司披露在网络安全事件面前其董事会在评估和管理网络安全风险方面的角色和专业知识。因此,从董事会管理层到各级部门,企业都要积极应对和管理网络安全风险。这些变化旨在使企业面对网络安全事件更具韧性,并在首次采购或续保网络安全保险时可以提供更好的网络安全风险评估结果以获得更有竞争力的保险方案。有效的网络安全响应流程以及定期的网络安全事件演练至关重要,这将使企业能够更好地遵守SEC新规定和要求。
  4. 如果企业有网络安全保险投保需求,保险公司目前都会要求企业满足特定的网络安全标准,才会提供相关网络安全保险保障。此类网络安全标准可能包括:
    • 指定网络安全责任人;
    • 设置适当的特权访问控制;
    • 员工培训、演练和训练;
    • 实施技术和物理安全控制;
    • 充分的记录和文档程序。

结论

无论企业是否上市,管理与网络安全相关的漏洞都应成为每个企业运营韧性战略的一部分。提前做好风险管理是降低处理重大网络安全事件成本的最佳方法之一。韦莱韬悦可以协助您量身定制网络安全风险管理方案,以适应您的风险偏好和业务需求,并为您提供关于如何遵守SEC新规定的建议。此外,我们专职的网络安全风险团队可以提供定制咨询服务,以帮助您的企业应对更新的SEC规定,增强组织的网络安全风险韧性。通过专业的风险管理和恰当的网络安全保险计划,企业可以更好地应对网络安全威胁,从而保护企业资产和声誉,维护客户和投资者的信任,并确保业务的持续稳健发展。

如有任何问题或疑虑,请随时联系我们的网络安全风险专家,我们将竭诚为您提供帮助和支持。

作者

Dominic Keller, CISSP
FINEX网络风险解决方案全球负责人,高级顾问
email 电子邮件
Jason D. Krauss
北美地区FINEX网络安全/E&O思想和产品负责人

Relevant Experience/Specialization

Jason Krauss joined Willis Towers Watson in 2016 as a Cyber/E&O Thought and Product Coverage Leader. Jason is a resource on the FINEX North America Cyber/Tech E&O brokerage team, providing dedicated analytical support to the brokers on specific national accounts coupled with thought leadership and developing improved capabilities for the entire team.

Prior to joining WTW, Jason was with Arch Insurance Group for 12 years, where he served as an Assistant Vice President in Enterprise Product Development within the Corporate Underwriting Department and worked closely with underwriters in drafting policies and endorsements. While at Arch, Jason focused on a number of products including Cyber, D&O, EPL and Professional Liability including lawyers, real estate professionals, accountants, captive agents, broker dealers, and architects and engineers.  Before joining Product Development at Arch, Jason managed a claims team in adjusting professional liability claims.

email 电子邮件 phone +1 212 915 8374
Related content tags, list of links 文章 网络风险管理 金融、高管与专业风险 (FINEX) 美国
Contact us