企業需瞭解的新網絡安全法規要點 - 《華爾街日報》

美國證券交易委員會執法部門前官員克里斯蒂·利特曼在WSJ Pro網絡安全論壇上探討監管議題。圖片來源：華爾街日報保護投資者免受網絡安全威脅是美國證券交易委員會的首要任務。過去一年間，該機構針對上市公司、諮詢公司、交易所及清算機構等實體發佈了一系列旨在強化網絡防禦的規則與提案。

為解讀這些新規，《華爾街日報》記者詹姆斯·蘭德爾專訪了克里斯蒂·利特曼。她曾任SEC執法部門加密資產與網絡部門負責人，於去年離職後加入偉凱律師事務所訴訟團隊擔任合夥人，專注於監管執法爭議案件代理及網絡安全事務諮詢。

以下為WSJ Pro網絡安全論壇訪談內容的節選編輯版。

信息披露制度

**華爾街日報：**SEC近期出台了多項新規，併發布了涵蓋發行人、經紀交易商到中央對手方清算所等各領域的網絡安全提案。企業需要關注哪些重點？

**利特曼：**需要關注的方面很多。且不僅限於SEC——當前網絡安全是整個聯邦層面的優先事項，其他監管機構也在同步推進相關規則制定。

但具體到美國證券交易委員會（SEC），主席加里·詹斯勒的首項規則發佈於2022年2月。該規則針對投資顧問和投資公司，旨在通過政策和程序要求來規範這些顧問和公司如何管理其網絡風險。SEC最近重新開放了對此規則的評議期，鑑於這一進展，我認為短期內不會看到它被正式採納。

SEC在2022年3月提出了下一項規則。這項規則針對發行人，即上市公司。最引人注目的是要求註冊人在確定遭遇重大網絡事件後的四個工作日內向投資者披露該事件。因此，並非事件發生後立即披露，而是在註冊人確認事件性質後的四天內。

規則中還包含一些關於公司治理的披露要求，我認為人們有必要了解這些內容，因為它要求公司披露其董事會是否具備網絡安全專業知識。董事並非隨處可見，而具備網絡安全經驗的董事更是稀缺。因此，這是一個值得關注的領域。

今年3月，SEC又針對經紀交易商、交易所和清算機構等市場實體提出了一項規則。該規則實質上對他們施加了一系列要求，包括定期評估網絡風險、實施風險最小化控制措施、系統監控等。還有一個專門針對事件響應的部分，要求他們監控、檢測、緩解任何事件，並進行響應和恢復。這實際上側重於運營韌性。

**華爾街日報：**SEC這一連串的規則制定，您認為其背後試圖實現的目標是什麼？

**利特曼：**SEC本質上是一個信息披露監管機構。因此當他們針對上市公司提出新規時，終極目標始終是信息披露——只要企業遭遇過安全事件、存在風險隱患或實施了風控措施，公司投資者就有權知情。

當企業被強制要求向投資者披露系統健壯性、風險管理與響應能力、董事會是否具備專業資質時，自然會更加重視網絡安全體系中這些環節的建設。

我認為實際效果將促使部分企業升級網絡安全系統。

披露標準的分歧

**華爾街日報：**事件報告顯然是SEC新規的重點，但其他政府機構也在推進類似要求。這些機構各有不同的報告規則，與SEC提案存在差異。這是否會導致企業面臨多重合規體系風險？

**利特曼：**協調統一肯定會有人推動。但由於各機構職能差異，規則自然存在分歧。例如國土安全部肩負着保衞國家安全的重任，這與SEC保護投資者的使命不同。儘管各機構間存在協作，SEC在規則徵求意見階段也會聽取其他部門的意見，但現實是SEC關注的網絡安全危害與國土安全部的着眼點並不相同。

這不僅僅是國土安全部和證券交易委員會的問題。如果你是一名網絡安全專業人士或內部法律顧問，你會明白在網絡安全問題上必須時刻保持警惕。你需要面對州檢察長、地方州監管機構以及聯邦貿易委員會，而每個機構都有不同的目標。

聯邦貿易委員會和你所在州的檢察長可能更關注消費者保護。你擁有哪些數據？這些數據是否足夠私密？是否存在泄露風險導致數據被共享？這些數據是否被不當使用，損害了提供信息者的利益？

這與證券交易委員會的關注點截然不同，後者不聚焦於消費者，而是關注收集數據的公司股東。

根據我的經驗，企業通常會試圖遵守最嚴格的監管制度，以期同時滿足其他相關標準。在網絡安全領域，監管體系如同一張錯綜複雜的網。

董事會專業能力

**華爾街日報：**在之前的討論中，我們提到了一些特別具有挑戰性的領域，比如治理問題以及確保董事具備適當的專業知識。雖然最終規則尚未確定，但您認為企業應如何提前準備？

**利特曼：**我認為所有企業，如果尚未開始研究這些擬議規則、核查自身系統並確保現行政策程序符合要求，現在就應該行動起來。因為這些規則很可能會以某種形式被採納實施。

我要指出的另一點是關於聘請專家，或為董事會保留一位具備網絡安全專業知識的董事。這個領域的需求遠大於供給。如果這成為最終採納的規則之一，你肯定不想成為那個手忙腳亂爭搶具備適當網絡安全專長董事的人，因為競爭會非常激烈。

**華爾街日報：**在網絡安全事件方面，關於什麼構成“重大”事件存在一些疑問。有人認為不同行業的標準似乎不一致。

**利特曼：**當我為客户提供事件諮詢時，他們問我的第一個問題總是：“這算重大嗎？我們需要報告嗎？”法律上對重大性的定義是：“理性投資者是否會認為該信息對投資決策具有重要性”，或類似表述。但在實踐中，情況可能有所不同。

從量化角度看，歷年法院判決認為，如果信息披露導致股價波動超過5%，就屬於量化層面的重大。但當你試圖判斷重大性時，並不能預知股價會如何波動。

你也可以從業務受影響程度的量化角度評估。但還應該從定性角度分析。我認為美國證交會正是採取這種方式。

因此需要真正審視被泄露信息的性質、泄露範圍以及其他可能產生連鎖反應的潛在危害。是否會影響供應商關係？是否可能導致更多訴訟或監管審查？這些都是進行重大性分析時應考慮的因素。

出現在2023年6月7日的印刷版中，標題為《企業需要了解的新網絡安全法規》。