美國證券交易委員會(SEC)於今年3月宣佈了一系列旨在保護金融系統免受網路安全事件影響的政策,隨後於7月26日頒佈了規定,要求所有上市公司在確認網路安全事件具有重大影響後的四天內揭露相關資訊。如果美國司法部長認定立即揭露會對國家安全或公共安全構成重大風險,揭露可以最多延遲至60天。這些規定要求企業揭露網路安全事件的性質、範圍、時間以及對公司可能造成的實質性影響。此外,企業還需要描述其評估、識別和處理網路安全威脅的流程,並在年報(annual 10-K filing)中揭露這些資訊,包括在進行中的或持續進行的補救措施。
這些規定最初是在2022年3月所提出的,當時SEC認定企業面臨的網路威脅正在持續升級,隨著企業數位化營運和遠端辦公的增加,網路安全事件對投資人帶來的損失也在增加。
SEC主席Gary Gensler在一份聲明中表示:“不管是企業失火導致工廠損毀,還是網路安全事件導致數百萬筆檔案遺失,這都可能對投資人產生實質性影響。”他指出目前揭露的資訊存在不一致性。穆迪公司(Moody's Investors Service)高級副總裁Lesley Ritter表示,這些規定將進一步增加上市企業資訊揭露的透明度,同時也將促進企業網路安全防護措施的改善。
WTW韋萊韜悅提醒您在企業網路安全風險管理方面應當注意以下幾點:
01
對於所有受SEC監管的上市公司,需確保網路安全保險保障範圍包含監管執法的內容。通常,保單中定義的監管行動包含了監管的執法行動、調查傳票等,與上述監管行動相關的抗辯費用需納入保險的保障範圍。
02
特別需要注意的是,報告網路入侵的四天觀察期是從企業確定入侵具有重大影響時開始計算的。因此,企業內部必須擁有強而有力的跨部門協調能力,確保關鍵利益相關者能夠迅速判斷發生的網路入侵事件是否具有重大影響性,一旦確定,就需要即時對該事件的“性質、範圍和時間”進行報告。而對於投保了網路安全保險的企業而言,即時發現和報告網路入侵事件,對於保險公司而言也至關重要,即時通知保險公司網路入侵事件可以有效避免延遲通知或不完整的報告導致的保險理賠糾紛和其他潛在的法律風險。
03
為了遵守SEC的相關規定,上市公司需儘快建立 “評估、識別和處理網路安全風險”的回應流程。此外,SEC要求上市公司揭露在網路安全事件的同時,需詳述董事會在評估和管理網路安全風險方面扮演的角色以及其具備的專業知識。因此,從董事會管理層到各級部門,企業都要積極應對和管理網路安全風險。這些變化旨在使企業面對網路安全事件更具韌性,並在首次採購或續保網路安全保險時可以提供更好的網路安全風險評估結果,以獲得更有競爭力的保險方案。有效的網路安全回應流程以及定期的網路安全事件演練至關重要,這將使企業能夠更好地遵守SEC新規定和要求。
如果企業有網路安全保險投保需求,保險公司目前都會要求企業滿足特定的網路安全標準,才會提供相關網路安全保險保障。此類網路安全標準可能包括:
無論企業是否上市,管理與網路安全相關的漏洞都應成為每個企業運營韌性戰略的一部分。提前做好風險管理是降低處理重大網路安全事件成本的最佳方法之一。WTW韋萊韜悅可以協助您量身定制網路安全風險管理方案,以適應您的風險偏好和業務需求,並為您提供關於如何遵守SEC新規定的建議。此外,我們專職的網路安全風險團隊可以提供定制諮詢服務,以協助您的企業應對最新的SEC規定,增強組織的網路安全風險韌性。
通過專業的風險管理和網路安全保險計畫,企業可以更好地應對網路安全威脅,從而保護企業資產和聲譽,維護客戶和投資者的信任,並確保業務的持續穩健發展。
如有任何問題,請隨時聯繫我們的網路安全風險專家,我們將竭誠為您提供幫助和支援。