面对SEC合规挑战的CISO需承担个人责任风险

关键要点

美国证券交易委员会SEC的新规则加大了上市公司CISO在报告网络安全事件和风险方面的责任。遇到重大网络安全事件时，CISO可能面临个人责任，尤其是在企业信息披露方面失误或误导时。CISOs需要在事件发现后的四个工作日内完成材料性评估并披露。需要综合考虑多种因素来确定网络安全事件的材料性，包括财务损失、运营中断和声誉风险。

来源 Shutterstock

美国证券交易委员会SEC的网络安全事件披露规则对上市公司首席信息安全官CISO在报告网络安全事件和风险方面的责任提出了更高的要求。

SEC于2023年12月生效的最新披露规则规定，上市公司必须在确定网络安全事件对投资者具有“重要性”后，在四个工作日内通过8K表格进行报告。此外，SEC还要求在10K表格中详细说明网络安全风险过程和董事会监管情况。

这些修订规则使CISO在接受审查时面临更大压力，可能因网络安全失败或误导性披露而承担个人责任。

这不是空穴来风，像SolarWinds的Tim Brown这样的案例强调了高级安全人员在上市公司就网络安全实践的企业报告失败上可能面临法律诉讼。

为了强调SEC合规性有多复杂，离SolarWinds违规事件发生四年后，SEC对四家公司提起了诉讼，指控它们处理软件供应链攻击的方式做出“不实披露”。

什么算作网络安全事件？

虽然报告重大网络安全事件的要求并不新鲜，但流程的变化增加了CISO在披露程序中的参与和责任。

SEC将网络安全事件定义为在注册人信息系统中发生的未经授权的事件或一系列相关的未经授权事件，这些事件危及注册人信息系统或其包含的信息的机密性、完整性或可用性。

需要向SEC提交披露报告的公司必须在四个工作日内报告被确定为对投资者“重要”的网络安全事件。

根据美国联邦证券法，信息被认为是重要的如果合理投资者在做出投资或投票决策时认为其重要，或者如果该信息会显著改变投资者可获取的“整体信息组合”，美国Hunton Andrews Kurth律师事务所的合伙人Scott Kimpel表示。

什么构成重大影响的违规？

判断什么构成“重大影响”与安全事件相关是复杂的，因为需要评估财务损失、运营中断、声誉风险、监管审查或潜在法律后果等多种因素。

补救措施、法律费用、监管罚款和任何预期收入损失都需要被纳入到材料性的评估中。事件对业务连续性、供应链或服务可用性的影响范围也必须加以考虑。

免费翻外墙app软件推荐

每个因素必须被考虑在内，并共同决定总体的材料性评估，公司应在事件发现后“没有不合理的延误”地进行评估。

“基本上，如果一个事件可能改变投资者对公司的看法，它很可能会被认为是重要的，”合规专家ISMSonline的首席执行官Luke Dash说。

需要注意的是，材料性不仅限于财务或运营结果，FTI Consulting的网络安全和数据隐私沟通联合负责人Evan Roberts表示，SEC特别提到“对公司声誉的损害”作为判断材料性的一个因素。

公司必须“从事件开始时起就评估材料性，并贯穿于事件的整个生命周期”，Roberts指出，“这一过程也应该得到严格的文档记录，从开始起直到整个事件响应过程。”

评估违反影响时需要考虑哪些因素？

SEC警告说，评