SEC应对网络安全威胁的新措施

关键要点

美国证券交易委员会SEC正在考虑如何更好地处理网络威胁。SEC在3月份提出了新修订案，要求投资公司和上市公司提升IT安全管理和事件报告。对JP Morgan Chase、UBS和TradeStation等公司进行了罚款，原因是客户身份程序不合规。新规将要求金融机构报告重大网络安全事件以及定期更新先前报告的事件。

美国证券交易委员会SEC主席加里根斯勒Gary Gensler在2021年9月14日的听证会上指出，随着系统和成员之间的违规事件日益增多，SEC正在审视如何更有效地应对网络安全威胁。SEC在3月份提出的新的修订案，意在加强投资公司和公众公司在IT安全管理和事故报告方面的要求。

根斯勒在发布会上表示：“多年来，我们的信息披露机制已随着风险和投资者需求的变化而演变。如今，网络安全是上市公司必须越来越多地面对的新兴风险。投资者希望了解更多有关公司如何管理这些日益增长的风险的信息。”他进一步指出，许多发行人已经提供给投资者网络安全的披露，若这些信息以一致、可比较和对决策有益的方式呈现，将会使公司和投资者都受益匪浅。

SEC对身份程序和事件报告的严格要求

在7月，SEC对JP Morgan Chase、瑞士银行UBS以及在线股票交易平台TradeStation进行了严厉处罚，因它们在2017年1月至2019年10月之间违反了身份盗窃红旗规则Regulation SID。该规则旨在保护投资者免受身份盗窃的风险。三家金融机构已同意停止未来的违规行为，并分别支付120万美元、925万美元和425万美元的罚金。

v加速器

在新的修订案中，SEC提出的要求还包括金融机构需对“重大网络安全事件”提供即时报告，并定期更新之前报告的事件。SEC表示，这一“拟议规则将把网络安全事件定义为任何未经授权的发生，威胁到注册者信息系统的保密性、完整性或可用性。”在新规中，“信息系统”的定义非常广泛，特别是金融公司利用云或主机系统时。

关于美国证券交易委员会SEC提议的网络事件披露变更的担忧浮现媒体