其他
美股上市公司重磅新规!重大网络安全事件需在4天内披露
关注我们
带你读懂网络安全
美国证券交易委员会出台新规,上市公司需在4天内披露网络安全违规事件。
前情回顾·网络安全信息披露要求
网安事件影响日益扩大,
信息披露不能再遮掩
相关规定最早于2022年3月提出。当时,业务数字化不断推进,远程办公不断增加,证券交易委员会因而认定企业网络违规事件带来的风险逐渐升高,投资者因网络安全事件遭受的损失也在增多。目前,一些关键基础设施运营商和所有医疗保健提供商必须依法报告违规事件。但是,美国还没有制定联邦违规事件披露法律。根据IBM最新发布的一份报告,企业处理违规事件平均需要付出450万美元的成本,比过去三年增加了15%。波耐蒙研究所的研究员发现,受影响企业通常会将成本转嫁给消费者,而这些消费者的个人信息可能已在违规事件中被窃取。新规通过之际正好发生了一起重大数据违规事件,各方对其披露速度偏慢、披露信息模糊,有些披露是以向证券交易委员会提交文件的形式实现的。这次违规事件的罪魁祸首是俄罗斯网络犯罪分子,他们利用广泛使用的文件传输程序MOVEit发动供应链攻击,影响了数百家组织。此次违规事件波及多家大学、主要养老基金、美国政府机构,以及俄勒冈州和路易斯安那州的900多万车主,还影响到英国广播公司、英国航空公司、安永会计师事务所和普华永道会计师事务所等公司。MOVEit违规事件的许多受害者很快就发现,数据泄露是第三方应用程序所致。证券交易委员会新规已将第三方应用程序纳入其中,指出各家公司正日益依赖外部云服务管理、存储数据。
参考资料:美联社
推荐阅读