SEC推迟网络安全漏洞通报新规定时间表

重点摘要

本周，美国证券交易委员会（SEC）推迟了针对公共公司在网络安全漏洞发生后四天内通知SEC的最新规定的时间表。最早的最终规定将在今年十月公布。业界对此规定表示担忧，包括潜在的重复报告要求及其对投资者和公司运营的影响。

根据SEC在其2023年春季统一议程中披露的最新消息，许多金融和网络安全专家原本预期该规定能够在5月早些时候正式完成，但现在显示的最早时间框架将拖至今年十月。

主要内容

这一改变的背景是，有行业贸易组织（如信息技术行业协会（ITI）、各类网络安全供应商、NASDAQ以及公共利益团体如电子隐私信息中心（EPIC））对该规则的措辞提出了异议。

一些组织担心即将出台的《2022年关键基础设施网络事件报告法案》（CIRCIA）要求向网络安全和基础设施安全局（CISA）报告关键基础设施事件可能造成重复报告的问题。根据现行提案，CIRCIA法案要求关键基础设施实体在三天内报告漏洞，且只需向CISA报告。

短期通报的争议

根据，大西洋理事会表示，许多针对SEC的危机通报新规公告（NPRM）的评论集中在四天披露期限的短暂和行业对于即使事件未完全控制和修复时依然必须遵守此时间框架的担忧上。公共公司在认定事件有重要性后，必须在四天内提交8-K表格报告漏洞。

Rapid7在该报告中指出，公众披露“未减轻或未控制的网络事件可能会导致攻击者进行更具破坏性的行为，进一步损害投资者利益，包括攻击升级”。这可能涉及数据的更积极外泄和删除活动纪录等反取证行为。在去年提交给SEC的中，Rapid7也警告指出，这可能会导致其他恶意行为者跟风攻击，利用相同的漏洞。该网络安全供应商认为，30天的时间应足以调查和修复大多数网络事件。

Rapid7的一位代表在被SC媒体联系时拒绝进一步评论，表示今天没有公关官员可用。

NASDAQ在其公开评论中表示，四个工作日的时间框架可能会妨碍公共公司修复网络安全入侵的主要责任。他们表示，四天不足以理解网络安全漏洞的性质、范围及其潜在影响。大西洋理事会报告中还有很多其他评论表达了此担忧。

对消费者隐私的影响

EPIC还提出了金融漏洞可能对消费者隐私造成的影响。在，该非营利组织要求SEC进一步修订规则，以确保在新规范下执行的事件响应计划和数据漏洞通知能够提供消费者“需要的信息，以理解并采取必要行动”。

EPIC表示：“事件响应计划和更强有力的通知制度所涉及的成本对于那些可能无法充分投资前端安全措施的实体起到了重要的推动作用。”他们还强调，此类激励与SEC对