金融服务行业历史上最重大的网络安全事件之一即将以新立法法规的形式发生。
美国证券交易委员会提出了新的网络安全法规,这将影响金融服务业务
美国证券交易委员会 (SEC) 的新规则将对提供金融服务的企业产生重大影响,一旦采用,可能会对网络安全文化产生深远影响。
美国证券交易委员会的新提案
新的 SEC 提案将要求所有上市公司的最高层企业领导层(包括董事会)实现完全的网络安全透明度和问责制。它将强制要求企业在 8-K 表格上报告重大网络安全事件。
他们还必须披露公司管理网络安全风险的政策和实践,以及管理层如何参与其实施。
公司董事会用于监督网络安全风险的流程以及任何董事会成员的网络安全专业知识也必须予以披露。
该提案将大大有助于帮助网络安全风险和战略成为董事会级别的对话——这是一项长期需要的发展。它还将有助于增加企业在网络安全方面的支出,并推动董事会层面对网络安全知识的需求。它还将强调让 CISO 参与这些董事会级别的对话和决策的重要性。
深入细节
23 年 2022 月 1934 日,SEC 提出了一项提案,旨在改进和规范上市公司的披露,要求其遵守 XNUMX 年《证券交易法》的报告要求。这些要求涉及网络安全风险管理、战略、治理和事件报告。需要报告重大网络安全事件,需要定期披露网络安全政策和程序,董事会需要监督网络安全风险。
在 SEC 的这些要求成为法律后,当金融机构认定发生了重大网络安全事件时,他们有四个工作日的时间进行披露。作为披露流程的一部分,企业必须向 SEC 提交 8-K 表格报告,以宣布股东需要了解的重大事件。新计划还要求披露一些以前未报告的个别网络安全事件,这些事件加在一起会产生严重后果。
你的政策暴露无遗
关于风险管理、战略和治理披露的新计划甚至比提案的事件报告部分更重要。上市公司的网络安全风险管理政策和实践将通过提案的这一部分公开。公司还必须披露董事会如何监督网络安全风险。
此外,公司必须披露执行管理层在评估网络安全风险和执行公司政策和程序方面的角色。这个过程类似于在网上发布组织的“成绩单”以供公众审查和评论。
根据新规定,公司必须披露其识别和管理网络安全攻击风险的政策和流程。如果没有到位,美国证券交易委员会将注意到这一点,并可能导致重大后果,例如罚款和违规处罚。公司还需要说明网络安全是否是其公司战略、财务规划和资本配置的一部分。
最后但并非最不重要的一点是,新规定要求任何拥有网络安全专业知识的董事会成员必须在年度报告和一些委托书中声明这一点。董事会应拥有内部和外部网络安全主题专家(SME)。外部中小企业应提供专业知识,内部中小企业应提供机构知识。
网络安全:领导力的当务之急
网络安全盔甲上的缝隙是人造成的。让您的员工成为解决方案的组成部分,而不是问题的一部分,是应对这一现实的唯一方法。董事会通常位于组织结构的最高层;正是从这里开始需要开始关注新规则。他们必须为员工提供持续的培训和新技术。
当今董事和管理人员最重要的信托义务之一是网络安全。董事会必须确保网络安全准则和实践得到遵守。领导者必须在整个公司内建立和培育一种风险意识文化,以实现更好的决策。
合规即将到来
无论我们是否意识到,金融服务业对我们所有人都至关重要。它必须得到加强和保护——而且是现在,而不是以后。
鉴于这一事实,新的法规应运而生,合规是必须的。公司必须将其政策和程序与美国证券交易委员会和其他国际监管机构保持一致,以使数字世界对投资者和消费者来说更加安全。
作者简介:
Michael Brown 是网络安全公司 Fortinet 金融服务领域的首席信息安全官。
他专门研究网络安全法规、ESG 影响、SD-WAN、SD-Branch、零信任、低延迟电子交易安全、SASE 和多云解决方案。
