美国证券交易委员会(SEC)推迟了要求上市公司在网络安全漏洞发生后四天内通知机构的新法规的时间表。
SEC在其2023年春季监管和放松管制行动统一议程中披露了这一更新。预计最终规则最早将于5月完成,但通知显示最终时间表将在今年晚些时候确定。
之前,一些行业贸易团体如信息技术产业委员会(ITI)、多个网络安全供应商、纳斯达克(NASDAQ)和电子隐私信息中心(EPIC)等推翻了规则的语言。
其他团体对即将提出的向网络安全和基础设施安全局(CISA)报告关键基础设施事件的要求表示担忧,这将重复之前的规定。目前,拟议的CIRCIA法案要求关键基础设施实体在三天内向CISA报告违规行为。
大西洋理事会在一份报告中指出,许多评论都集中在四天通知期的短暂时段以及行业担忧时间表是否适用于完全控制和补救事件的情况下。
Rapid7警告称,公开披露未经缓解或遏制的网络事件可能导致攻击升级,包括更积极的数据泄露和反法医学活动。
纳斯达克表示,四天的通知框架可能会干扰公司修复网络安全入侵的主要义务,并表示这段时间不足以了解漏洞的性质和影响。
EPIC对消费者隐私在发生财务漏洞时的保护表示担忧,并要求SEC修改规则以确保事件响应计划和数据泄露通知为消费者提供必要信息。
大西洋理事会建议将通知期延长至30天,以给公司更多的时间做出反应,并认为SEC应该允许公司推迟通知,如果通知可能对国家安全产生负面影响。
