来源:四大新鲜事儿
背景
在全球各国高度强调国家安全、网络安全以及数据安全的背景下,美国证券交易委员会(Securities and Exchange Commission,SEC)于2023年7月26日通过了旨在加强和规范与网络安全相关的信息披露修正案,该法案将于2023年12月18日正式生效(“小型公司”有额外180天宽限期至2024年6月15日)。修正案要求在美上市的公司及时、详细地披露重大网络安全事件并定期披露有关网络安全风险管理和治理的信息。
一、SEC网络安全新规对在美上市公司的披露要求
SEC网络安全新规旨在保护投资者,免受网络安全漏洞可能对其造成的伤害。随着网络安全事件的数量、严重程度和风险的不断上升,投资者期望公司可以增加网络安全事件披露的透明度,以便其能迅速且正确地做出投资判断及决策。
根据这项新规,SEC要求在美上市公司向投资者提供有关如何管理网络风险的最新、一致且“对决策有用”的信息,要求公司做好有关网络风险管理、策略和治理流程披露的准备。作为公司信息安全的主要负责人,SEC在美上市公司的首席信息安全官(CISO)/首席信息官(CIO)/首席技术官(CTO)、首席财务官(CFO)、法律顾问(General Counsel)、董事会(Board)、首席执行官(CEO)以及内部审计(IA)等角色需要格外关注此项新规。
此次SEC对在美上市公司的披露要求包括以下四个关键领域:网络风险管理和策略、网络安全治理、重大网络事件报告以及外国私人发行人(FPI)规则。
网络风险管理和策略
在美上市公司必须披露有关评估、识别和管理网络安全威胁产生的重大风险流程,包括:网络安全是否为整个风险管理计划的一部分?是否聘请顾问、审计师或其他第三方来监督和识别来自外部的风险?此外,公司还必须解释澄清网络安全威胁造成的任何风险。
网络安全治理
在美上市公司必须披露公司针对网络安全风险相关的治理工作,包括:董事会对网络安全风险的监督、负责监督的董事会委员会或小组委员会的任命,以及网络风险管理的全流程;负责评估和管理网络风险的管理委员会组织架构及在评估和管理重大网络安全风险以及实施网络安全治理时承担的角色;管理层成员的相关专业技能和知识水平。
重大网络安全事件报告
在美上市公司必须披露任何被确定为“重大”的网络安全事件,并描述其性质、范围和时间,以及对公司的影响或潜在影响,并在确定后的4个工作日内,在表格8-K上报告“重大”网络安全事件。
何为“重大”事件?重大事件通常被定义为已经影响或未来可能影响公司战略、运营、财务等重要领域的事件。公司应综合考虑定量因素与定性因素确定重大事件,例如,考虑对竞争力、商业声誉、客户关系的损害程度以及潜在的诉讼或监管调查等因素。
如何理解“4个工作日内披露”?这个披露的起始时间并不是在事件发生或被检测到时开始计时,而是在事件被确定为“重大”事件时开始计算。
外国私人发行人(Foreign Private Issuer,FPI)规则
除在美上市的美国公司外,SEC同时要求外国私人发行人(FPI),即在美上市的非美国公司,也必须使用表格6-K披露重大网络安全事件。SEC认为它们的网络安全事件与网络安全风险对于投资者而言与美国公司同样重要。
若在美上市公司未按照SEC规定披露网络安全信息,尤其是重大网络安全事件等重大事实,公司及其相关负责人将面临高额的行政罚款,甚至承担刑事责任。公司还可能面临来自外部投资者的集体诉讼。
二、承担SEC新规合规责任的重要角色
SEC网络安全新规扩大了在美上市公司的年度披露范围,为投资者和其他利益相关者提供了有关公司网络安全风险管理、战略和治理的更多标准化信息。重大网络安全事件的披露应遵循更具体的细节,公司需要注重事件响应的时效性和有效性,确保其网络安全响应能力能够满足现有要求。
在大多数公司,合规责任将落在几个主要角色上,每个角色都有自己的问题需要思考。此外,这些角色在面对合规性问题时的协调将是至关重要的。
首席信息官(CIO)或首席信息安全官(CISO)或首席技术官(CTO)
作为公司IT和网络安全的主要负责人,首席信息官(CIO)或首席信息安全官(CISO)或首席技术官(CTO)将是对网络安全事件进行响应并准备相关披露的核心角色。他们通常需要检查以下三个方面:
了解公司网络安全风险现状及网络安全管理的能力和约束条件
IT和网络安全的负责人应首先明确,自己对公司的网络风险现状和风险管理计划了解多少?公司目前的网络安全计划能在多大程度上符合SEC的披露新规?如果对这些问题的回答是否定的或不确定的,那就需要立即做出改进。
了解公司确定网络安全事件重要性的框架,提供正确投入
确定网络安全事件的重要性不是一个人的责任,而是需要公司中其他角色的相互沟通和协调,以能及时地对网络事件的重要性做出判断。以下是应该考虑的准备步骤。
与内部相关方建立关系
如前文所提,满足新规披露要求需要公司内各方的积极合作。而首席信息官(CIO)或首席信息安全官(CISO)或首席技术官(CTO)作为响应网络安全事件和满足SEC披露要求的核心,需要向一个多功能的团队提供相关信息和确认,使整个团队可以随时投入行动。
首席财务官(CFO)
首席财务官(CFO)在签署公司的10-K表时,需要对公司披露的关于网络风险管理的相关信息的完整性和准确性有充分信心,并准备好按照新规要求披露更多有关信息。
法律顾问(General Counsel)
法律顾问(General Counsel)应思考如何有效地起草向SEC披露的信息,既要符合新规要求,又不泄露公司网络计划的机密信息。法律顾问也应参与探讨公司确定重大事件所采用的标准和需要考虑的因素。
此外,如果公司不能满足4个工作日内披露的时限要求,且公司符合SEC规定的暂缓披露例外情况,例如“立刻披露可能对国家安全或公共安全造成重大影响”,法律顾问应该确保有充分的理由和证据向联邦执法部门和SEC说明相关情况,并获得他们的反馈。
董事会与首席执行官(Board and CEO)
董事会(Board)与首席执行官(CEO)需确保获得关于关键网络风险的有效、持续的报告,以及管理层正在采取哪些措施来缓解这些风险。董事会与首席执行官也应思考自己是否具备足够的网络安全知识,以便有效地监督这一领域。
内部审计(IA)
内部审计(IA)是一种独立、客观的确认和咨询活动,它以风险为基础,提供客观的确认、建议和洞见,增加和保护组织价值,改善组织的运营。
在新规下,内部审计应为公司能否合规地披露重大事件提供独立的评估视角。同时作为公司的战略咨询顾问,内部审计也在董事会向投资者提供关于公司网络安全情况的重要信息方面发挥着关键作用。
在新规下,内部审计可以通过以下三个步骤,对公司是否准备好应对SEC的披露新规进行独立评估。
新规下内部审计需要的三个步骤
三、披露能否满足SEC要求,
在美上市公司需要回答的七个问题
自新规发布以来,普华永道积极与各公司管理层沟通,了解公司对新规要求的主要顾虑,并对这些常见顾虑进行总结,归纳成以下七个问题:
报告网络安全事件的流程是什么?
对于管理层来说,了解网络安全事件发生后内部的升级汇报和向外部报告的流程非常重要,所以公司需要即刻考虑测试内部网络安全事件响应流程步骤,以确保在事件真实发生时,内部相关负责人能够及时有效地完成事件响应和上报要求。
如何有效地确定事件的重要性?
确定重要性可能很复杂,不应该只由某一个人负责。重要性的确定应涉及首席财务官、法律顾问、首席信息安全官、首席信息官等角色以及一线业务的领导者们。
许多公司可能已经注意到SEC于2011年发布的《网络安全披露指引(Disclosure Guidance: Topic No. 2 Cybersecurity)》及2018年发布的有关网络披露的指导建议(《关于上市公司网络安全信息披露的声明和指导意见(Commission Statement and Guidance on Public Company Cybersecurity Disclosures)》)。这些指引中均要求公司建立和维护适当有效的披露控制和程序,使其能够准确及时地披露重大事件,包括与网络安全有关的事件。多年来,SEC一直在提供一些定量的指引以评估财务报表中错误的重要性,如SAB 99(SEC Staff Accounting Bulletin: No. 99 – Materiality)中的指导,这也导致大多数公司可能仅习惯于讨论与财务报表相关的定量因素的重要性。但此次新规要求公司在考虑对财务和运营影响等定量因素的同时,还需考虑如对声誉、客户关系、供应商关系、法律合规性等定性因素,综合定量与定性分析以评估事件的重要性。
以下定量与定性因素可帮助公司评估事件重要性。
*注:
1. RPO: Recovery Point Objective,即恢复点目标,指衡量系统在丧失业务能力之前可丢失的数据量。
2. RTO: Recovery Time Objective,即恢复时间目标,指从任何中断中恢复的目标时间。
3. SLA: Service Level Agreement,即服务等级协议,指服务提供商与用户间或者服务提供商之间定义的一种双方认可的协定。
但必须注意的是,那些不会立刻造成重大实质性损害的事件仍可以被认定为重大网络安全事件。例如,一家公司知识产权被盗,可能不会立刻引发损害,但可以预见的是,随着信息被出售给其他方面,实质性损害可能会随着时间的推移而发生。此外,某些互相关联的事件也可共同构成一个重大事件。例如,涉及同一攻击者连续进行勒索软件(ransomware)加密及威胁披露敏感数据,或多个攻击者利用同一漏洞进行攻击的事件就可以被认为是相关联的,在评估重要程度时需要整合这些互相关联的事件。
但归根结底,判断事件是否为重大事件这一决定仍取决于公司本身。如果公司认为该事件不是重大事件,因此不需要披露,那么就应该做好充分的准备来支撑这一结论,以应对可能的监管机构质询或诉讼。因此,公司应仔细审视判断事件是否为重大事件的证据。
如何确认是否已经完整记录判定重要性的流程?
如前文所述,当事件发生时,公司需要标准的方法论和相关证据作为对网络安全事件重要性的定级依据,特别是如何识别例外的非重大事件。如果SEC质疑公司对此的结论,公司就需要在详细的流程以及定量和定性因素的考虑基础上,阐述公司确定重要性的理由,并证明其合理性。因此,判断重大事件的一个重要要求是实时、同步地记录与网络事件有关的事实,而公司的首席信息官(CIO)或首席信息安全官(CISO)或首席技术官(CTO)需对这些记录和判断的依据承担最终责任。
信息披露到什么程度比较合适?
考虑到网络安全计划的敏感性,在遵守新要求的同时不泄露公司关于网络安全程序和计划的机密信息将是公司需要平衡的重点。一些公司正在考虑通过创建标准模板的方式来规范报告披露的颗粒度,在具体事件发生时根据事件细节进行微调,以快速完成披露需求。
公司能在4个工作日内完成披露吗?
多数公司对于能否在4个工作日期限内完成事件披露存在疑惑。但实际上这4个工作日的时间并不是从事件发生或被检测到时开始计时,而是在事件被确定为“重大事件”时开始计时。虽然SEC的披露规则中没有规定事件发生后到确定为重大事件之间的具体时间,但是理论上不得无故拖延重大事件的确定时间。
公司的政策程序、风险评估、控制和监控是否足够强大,可以公开披露?
在政策程序方面,公司的政策程序是否符合至少一个公认行业框架规定?政策程序是否定期审查并更新?每一位员工是否熟知政策程序内容?以及政策程序的执行情况如何?
在风险评估方面,仅有风险评估流程还不够,公司还需确认现有流程是否有效应用于整个公司?是否重点关注业务高风险点?多久进行一次风险评估?评估的结果是否纳入公司的网络安全战略、公司风险和对应的资源配置?是否聘请了第三方来评估网络安全能力?
在控制和监控方面,公司是否能做到对网络安全事件全面有效的监控?对于监控到的风险事件是否能够及时反馈和响应?对于网络安全事件的控制措施能否满足现有监管要求?
在董事会层面公司是否获得了监督网络安全所需的信息?
SEC披露规则要求在10-K表中描述董事会对网络安全风险的监督,包括对网络安全风险如何分配(例如全体董事会、委员会)以及董事会、委员会了解风险的流程。
虽然新规不要求披露董事们在网络安全方面的专业水平,但董事们需要了解新规涉及的相关领域的基本知识。董事会有责任足够理解网络相关的概念和要求,以便进行监督。
四、普华永道对在美上市公司应对新规披露要求的建议
对于此次SEC披露新规的要求,普华永道网络安全团队第一时间对新规要求做出解读,并结合最佳实践,建议在美上市公司建立如下必备能力框架以统一公司的治理工作,满足SEC的披露要求。
正如前文所提,遵守SEC新规需要公司的网络安全、财务、风险、法律团队等关键业务角色之间的密切合作,就如何及时准确地披露符合新规的信息达成一致。而这些能力也是相辅相成的,改进一个领域也会促进公司在其他领域的改进和提升。
然而现实情况是,目前许多公司其实尚未具备符合新规要求的各方面能力。普华永道团队将根据SEC新规要求要素,对公司目前的披露情况进行评估,帮助公司识别并解决潜在的披露缺陷,确保公司能够及时适应新规的要求。同时,普华永道将协助公司制定应对计划,帮助公司明确必要的整改措施,并制定具体的行动计划和时间表,确保公司能够按期合规地完成相关的披露工作。此外,在全球日趋增多的网络安全威胁环境下,网络安全治理和能力的培养已经是一项长期工作,公司不应仅着眼于满足目前的监管要求,而是应以此为契机提升公司整体的网络安全能力。普华永道也将在未来长期持续为公司提供相应支持,协助公司平稳地应对威胁,安全健康地运转。
因此,普华永道以SEC新规要素为出发点,针对上市公司的网络安全治理和能力提出了短期、中期及长期规划建议,并将协助公司完成相关规划目标。
短期规划
中期规划
长期规划
总体而言,虽然新的SEC网络安全披露规则看起来相对繁琐,但同时也为在美上市公司提供了一个宝贵的机会来重新调整策略方法,避免依赖既往陈旧的工作方法论。目前世界各国对于网络安全的披露日益趋严,国内的网络安全法中也有涉及相关详细的披露规则,因此公司应建立起自己的事件响应能力,警惕未来可能的监管要求更新。公司也应通过与值得信赖的合作伙伴提前蓄力,积极准备。
多年来,普华永道在网络安全行业深耕与发展,与监管机构、政策制定者和商业领袖打造合作生态联盟。普华永道能够及时向客户、投资人和监管机构发出信号,帮助公司对网络安全做出新的承诺,增强公司对整体安全态势的把控,从而更好地减轻公司由于过度自信而忽略的网络安全潜在威胁。
