SEC新规：公开号公司网络安全报告新要求

关键要点

• 新要求 ：SEC要求所有公开号公司在四天内报告网络安全漏洞事件。
• 影响 ：新规可能促使公司在网络安全方面采取更高标准，推动内部变革。
• 争议 ：新规在党派之间通过，部分委员担忧此规制可能增加网络安全风险。

上周，经过长期的讨论和妥协，美国证券交易委员会（SEC），要求所有公开号公司在四天内报告网络安全漏洞事件。尽管以前有多次倡议未能促使公司重视网络安全，但此次SEC的强制执行可能会真正产生影响。公司常常倾向于掩盖漏洞，但这种做法会对股东和客户造成负面影响。这项新的报告要求有潜力促使公司从董事会到基层的整体变革。

此次新规出台仅一个月前，SolarWindsSEC向其高管发出，表明他们将对其在2020年安全漏洞事件中的责任采取行动。这无疑显示SEC在提升公开号公司网络安全方面是认真的。

在广泛的意见征集期后，为了使草案更符合行业需求，许多条款被删减。涉及记录和量化安全态势、复杂的整体重要性概念以及早期漏洞响应的详细信息请求的要求都被取消。总体来看，最终的规章在提高标准和去除繁琐手续之间取得了良好的平衡。

然而，这些新规并不乏争议。规制以3-2的党派分歧通过。共和党委员马克·尤埃达表达了担忧，认为新规不公平地把网络安全风险提升到其他同等重要风险之上。

此外，人们担心，在许多情况下，攻击者在通知时仍会停留在网络中。持不同意见的委员赫斯特·皮尔斯，公开信息将帮助黑客更好地了解他们试图攻击的组织的防御，称这些规章“似乎旨在更好地满足潜在黑客的需求。”向攻击者透露他们已被识别可能会使其更难以被驱逐出去。例如，计划对持续的安全漏洞进行补救，比如重置所有用户的密码和锁定接入点，可能需要数周的时间。

然而，在最终规章中现在有一些例外和特别条款，特别是涉及国家安全事件，从而减轻了这些风险。同时，在8-K表格中所需的信息并不足以让攻击者获取过多内部知识，除了确认已识别到漏洞并正在展开响应。

通知截止日期仅在确定存在 重大
漏洞后才开始计算——而非公司首次识别漏洞时。这是一个微妙的区别，识别漏洞是否重大可能需要几天的初步分类分析。判定漏洞何时具有重大性需要对事件进行范围界定和影响评估。如今，许多组织可能会在识别漏洞的重大性上面临困难。但这也是SEC应强制公开号公司改善的方向。此外，报告要求并不期待在四天内完全修复事故。根据GDPR，欧盟公司的报告时间仅为，而印度甚至仅有。

公司提交的报告并不长，要求涵盖漏洞的性质、简要时间线及预期影响。公司需要在现有的表格上提交新扩展，以通知投资者重大事件。其他现有部分包括“矿业安全——关闭和违规模式的报告”和“破产或接管”。这并非专属于网络安全。

新规将于12月生效，或在联邦公报发布后30天生效。我并