美国公司网络攻击报告新规预告

关键要点

在争议不断的新网络攻击报告规定生效前一周，相关部门已概述了美国上市公司若希望延迟报告特定攻击所需遵循的流程。

根据新规，自2023年12月18日起，遭遇“重大”网络攻击的上市公司需在四个工作日内向证券交易委员会（SEC）提交详细信息。这一新规旨在提高透明度，并确保以标准化的方式处理攻击事件。然而，批评者指出，这一要求给已经紧张的网络安全团队带来了额外压力，并且时间框架显得不够现实。

根据规定，具体信息必须在SEC的8-K表格上公开提交。对于不立即提交的情况，如果司法部认定延迟报告基于国家安全或公共安全的考虑是合理的，则可以延迟提交。

上周，联邦调查局（FBI）发布了关于报告要求的指导方针以及政策通知，强调其作为处理希望在网络攻击后延迟提交8-K的受害公司之责任机构的角色。

信息安全专业人士对这一新规的一个主要担忧是关于“重大”事件的定义不甚明确，这一事件将触发四天的报告要求。根据FBI的指导，若“合理投资者在做出投资决策时会将其视为重要事件”，则该网络安全事件将被视为重大事件。

FBI在指导中指出，其职责是接收和审查公司的延迟报告请求，并将其转交给司法部。

司法部若认为保持攻击细节的保密是合理的，通常可以首次批准30天的公共报告延迟，并可在此基础上再延迟30天。在“非常规情况下”，若存在“重大”的国家安全风险，延迟时间还可以延长60天。任何额外的延迟则需要SEC的豁免令。

虽然判断攻击是否为重大事件的责任在于受害公司，但FBI建议上市公司与当地FBI网络小组建立联系。“FBI还强烈鼓励公司在发现网络事件后尽早联系FBI。这一早期的接触使得FBI能够在公司作出重大性判断前，了解事件的事实和情况。”

FBI表示，仅在公司确认遭遇重大事件的同时提出延迟请求时，才会处理该请求。如果公司没有在确认攻击为重大事件后立即报告，那么FBI将不会执行延迟转介请求。