五大银行业集团已正式请求 美国证券交易委员会 (SEC) 撤销其网络安全事件披露规则,理由是该法规削弱 国家安全努力,弊大于利。美国银行家协会在5月22日的信函中带头反对这一公开 披露网络事件要求的基础。
需要了解的事项:
-
五个银行集团认为SEC的网络安全披露规则 与旨在保护关键基础设施的机密报告相冲突。
-
规则要求迅速公开披露数据泄露等事件,但 银行表示这帮助勒索软件犯罪分子并损害了响应工作。
-
银行业联盟希望将1.05条款从通知投资者网络安全 事件的Form 8-K报告要求中删除。
行业联盟瞄准核心披露机制
该联盟包括证券业和金融市场协会、银行政策研究所、 独立社区银行家协会和国际银行家协会。这些团体 代表了美国数千家金融机构。他们的请愿书 具体针对SEC Form 8-K报告要求中的“1.05项目”。
Form 8-K是向投资者公开通知影响上市公司重要事件的主要工具。
网络安全条款要求公司披露可能对其运营或财务状况产生重要影响的事件。 银行业集团认为这种机制比透明度造成了更大的危害。
SEC的网络安全风险管理规则在2023年7月生效。公司 现在必须迅速披露包括数据泄露和系统妥协在内的网络安全事件。 该法规旨在向投资者提供可能影响其投资的网络风险的及时信息。
银行提出运营和安全问题
银行代表表示披露要求与现有的机密报告系统直接冲突,这些系统旨在 保护关键基础设施。他们声称过早的公开披露干扰了 事件响应程序和执法调查。规则中复杂的延迟机制 在强制和自愿披露义务之间制造了混乱。
根据银行联盟的说法,勒索软件犯罪分子已经将公开披露要求武器化 作为勒索工具。犯罪团伙现在威胁 启动强制披露时间线,以迫使受害者更快支付赎金。 这一发展从根本上改变了网络安全事件响应的动态。
这些团体还对保险和责任问题表示担忧。
过早的披露使保险索赔复杂化,并增加受影响公司的法律风险。 员工知道其事件响应讨论可能成为公开记录后,内部沟通变得更加谨慎。
市场混乱是银行业另一个显著的担忧。规则对哪些事件 需要立即披露和哪些可以通过现有的实质信息框架 处理造成不确定性。这种混乱影响了试图遵守 规定的公司以及尝试解释披露的投资者。
加密货币公司面临类似的披露压力
公开交易的加密货币公司经历了这些披露要求的实际影响。 Coinbase本月初披露黑客贿赂支持人员访问用户数据,这使 公司面临至少七起诉讼。交易所拒绝了 2000万美元的赎金要求,但估计事件可能导致高达 4亿美元的损失。
Coinbase案例说明了披露要求如何加剧网络安全事件的财务影响。 公司不得不即刻通知公众的情况下,法律风险倍增,这在其他情况下 原本可能更安静地解决。
这种动态特别影响处理敏感客户数据的科技和金融服务公司。
如果SEC批准银行业的请愿,像Coinbase这样的公司可能在 定时网络安全披露方面获得更多灵活性。当前规则的僵化时间 线通常迫使公司在完全了解范围或影响之前披露事件。
银行业联盟提出的替代框架
银行集团认为现有的披露框架已经 保护投资者利益,无需特定的网络安全要求。已有的 报告实质性信息的规则将继续覆盖真正影响公司 业绩或财务状况的重要网络事件。
他们认为这种方法将更好地服务于投资者和国家安全利益。
请愿书包括自规则实施以来 监管冲突和参与者混乱的记录例子。 银行集团汇编了具体事件,展示了披露要求如何干扰 执法调查和事件响应努力。
金融机构还指出它们在其他联邦机构下现有的监管义务。 银行已经通过专为保护敏感基础设施信息并确保适当监督的保密渠道向金融监管机构报告网络安全事件。
结束语
银行业对SEC网络安全披露规则的挑战反映了金融服务 监管中透明度与安全性之间的更广泛冲突。 他们的请愿书认为,强制性公开披露带来了更多风险而非益处,尤其是在 犯罪分子利用这些要求进行勒索时。