Thrive 首席技术官 Michael Gray:虽然美国证券交易委员会 (SEC) 的网络安全风险管理、战略、治理和事件披露规则已于 2023 年底生效,但许多组织在申报和披露方面仍然存在问题。根据这些规则,组织必须披露重大网络安全事件,并提供有关其网络安全态势的年度更新。要能够准确共享网络安全更新(有时在短时间内),团队需要对 8-K 和 10-K 申报有深入的了解,并实施简化合规性的新流程。
8-K 和 10-K 申请之间的区别
一般来说,8-K 申报是上市公司用来分享投资者在做出投资决策时可能想知道的重大事件信息的定期报告。SEC 的网络安全规则现在明确要求公司通过 8-K 表格的第 1.05 项披露重大网络安全事件。
另一方面,10-K 申报是详细的年度报告,总结了上市公司过去一年的财务和运营业绩。公司的一部分责任是向利益相关者披露企业的内部情况,而 10-K 文件有助于教育投资者,以便他们能够就自己的投资做出明智的决定。上市公司现在必须在其年度 10-K 文件中包括有关其网络安全战略、治理、感知威胁和全年发生的重大事件的信息。
8-K:定义重要性
当今网络安全团队的一个常见问题是如何确定网络安全事件是否“重大”,即对财务结果有重大影响的事件,以及对公司运营、声誉、合规性以及客户或利益相关者关系的影响的事件,是否值得进行 8-K 申报。SEC 的指导意见是,如果理性的投资者想要了解网络安全事件,例如导致大量收入损失、运营中断或停机、负面媒体报道、法律风险和客户数据丢失的事件,则网络安全事件是重大事件。例如,Change Healthcare 勒索软件攻击是重大的 — 患者的数据被泄露,并对依赖该公司的医院、诊所和医疗保健专业人员产生了负面影响。另一方面,通过工作电子邮件针对个人的网络钓鱼计划不会被视为重大事件,因为它很可能不会给企业造成重大收入损失或影响公司利益相关者——尤其是在仅提供个人信息的情况下。
公司必须在发现事件后的 4 个工作日内提交 8-K,而不是在事件发生后的 4 个工作日内提交。如果确定需要披露的其他重大信息,公司将对披露事件的原始 8-K 提出修正。在许多情况下,网络安全团队会发现有关事件的更多细节,然后他们可以在随后提交给 SEC 的报告中分享这些细节。在确定其他事实后,公司也有义务纠正被发现不真实的先前披露。
10-K:披露的信息过多和过少
10-K 申报是网络安全团队分享公司网络安全计划和战略当前状态详细信息的地方。SEC 的披露规则要求组织确定谁负责监督网络安全活动,并说明他们如何评估、发现和减轻网络安全威胁带来的重大风险。10-K 的第 106 项也是团队可以重新审视过去一年的重大事件的地方,并就事件发生后公司的响应和绩效提供额外评论。第 106 项还要求组织描述董事会对风险的监督以及管理层在评估重大风险方面的作用。就先前在 8-K 文件中报告的事件的信息而言,10-K 申报不一定是“新的”,而是有关对业务由此产生的影响以及公司面临的任何已确定的网络风险的信息,这些风险可能由先前的事件导致。
同样,披露多少信息的经验法则是,公司应提供足够的信息,让股东能够做出合理的投资决策。需要考虑的一些细节包括贵公司是否有 CISO、为董事会和广大员工实施了哪些网络培训计划,以及董事会中是否有人拥有详细的网络安全知识或专业知识。通常情况下,这意味着要注重透明度,而不是隐藏关键细节。
简化合规性
除了 8-K 和 10-K 申报之外,员工还应了解公司的总体网络安全框架。该框架应涵盖组织如何全面处理网络安全,记录事件响应程序,并总结企业如何随着时间的推移而改进。
现代组织必须能够在网络安全事件发生之前和之后降低风险。随着威胁的不断演变,网络安全领导者应经常审核其网络安全能力。这包括识别潜在漏洞并实施有效的风险管理策略,对您的网络和端点运行实时测试,以及持续沟通和培训员工了解网络安全策略。SEC 提供的准备情况评估可以在这一领域提供帮助。
事件发生后,领导者应反思组织的应对情况,并确保在 8-K 中完整记录关键细节。公司还应与法律专家合作,定期审查其合规状况。此外,员工需要对 SEC 的网络安全披露规则进行专门培训,以便他们了解公司的报告义务,并了解他们在事件响应和年度读数方面的角色。