2022年2月,美国证券交易委员会(SEC)针对我们之前讨论过的注册投资顾问(“ria”)(包括私募基金的ria)和基金(包括注册投资公司(“RICs”)和根据《投资公司法》选择被视为业务发展公司(“bdc”)的封闭式基金)提出了首个网络安全规则gydF4y2Ba在这里gydF4y2Ba.美国证券交易委员会表示,计划在2023年4月发布最终规则(以及我们之前讨论过的上市公司的新网络安全规则)gydF4y2Ba在这里gydF4y2Ba).gydF4y2Ba
针对ria和基金的拟议网络安全规则增加了重大的新监管负担,包括新的48小时网络安全事件通知要求、详细的网络安全政策和程序要求,以及额外的披露和记录保存要求。这篇文章的重点是如何准备遵守这些新的SEC规则,Debevoise的数据战略和安全以及白领和监管防御实践将深入讨论gydF4y2Babetway888必威.网络直播还将讨论针对ria和基金的拟议网络安全规则之间的交集gydF4y2Ba美国证券交易委员会新提出的Reg S-P修正案和新的经纪自营商网络安全风险管理规则gydF4y2Ba.gydF4y2Ba
规则建议的背景gydF4y2Ba
2022年2月9日,SEC提出了针对ria和基金的网络安全风险管理规则(“规则草案”)。与Gensler主席的观点一致gydF4y2Ba网络安全优先级gydF4y2Ba《规则草案》是美国证券交易委员会首次明确要求ria和基金采取和实施网络安全控制。《建议规则》符合各行业(包括中国银行业)监管机构的趋势gydF4y2Ba银行gydF4y2Ba,gydF4y2Ba金融服务gydF4y2Ba,gydF4y2Ba关键基础设施gydF4y2Ba)将注意力集中在网络安全上。gydF4y2Ba
关键需求gydF4y2Ba
拟议规则要求主要分为四类:(1)网络事件通知义务,(2)政策和程序,(3)披露要求,以及(4)账簿和记录要求。gydF4y2Ba
- 48小时事故报告gydF4y2Ba:规则建议对ria实施48小时网络安全事件通知新规定。具体而言,ria将被要求报告重大顾问或基金网络安全事件(包括代表RIC、BDC或经历事件的私募基金)。拟议规则将重大网络安全事件定义为(1)“严重破坏或降低”RIA或基金“维持关键业务的能力”或(2)“导致未经授权访问或使用”RIA或基金信息,而未经授权访问或使用会对RIA、基金、客户或私募基金投资者造成“重大损害”的事件或相关事件组。此类通知必须在“有合理依据得出重大顾问或基金网络安全事件已经发生或正在发生的结论”后48小时内发出。美国证券交易委员会建议通过向美国证券交易委员会提交(并在重大事实发生变化时更新)ADV-C表格来发出通知。美国证券交易委员会已声明,此类表格将保持机密。gydF4y2Ba
- 网络安全风险管理政策和程序gydF4y2Ba规则草案要求RIA和基金实施针对RIA或基金的业务运营(包括其复杂性和特定网络安全风险)量身定制的网络安全政策和程序。《建议规则》认识到,在网络安全领域不存在“一刀切的方法”,风险管理计划应根据业务进行适当调整,并随着业务的发展而发展。尽管如此,《规则草案》要求所有ria和基金采取处理某些要素(例如gydF4y2BaggydF4y2Ba.、用户安全和访问、信息保护、威胁和漏洞管理以及事件响应和恢复)。gydF4y2Ba
除了这些要素外,ria和基金每年都要审查这些政策和程序,并编写一份报告,描述审查,解释审查结果,记录自上次报告以来发生的任何事件,并讨论自上次报告以来政策和程序的任何重大变化。gydF4y2Ba
就基金而言,《规则草案》还将要求基金的董事会审查和批准基金的网络安全政策和程序。基金董事会还将被要求审查关于网络安全事件的年度书面报告以及基金网络安全政策和程序的重大变化。gydF4y2Ba
《规则建议》规定,ria和基金可以使用第三方网络安全风险管理服务,前提是服务提供商受到适当监管。gydF4y2Ba
3.gydF4y2Ba信息披露gydF4y2Ba义务gydF4y2Ba:拟议规则还要求ria和基金通过更新表格(ria的ADV表格第2A部分和基金的N-1A、N-2、N-3、N-4、N-6、N-8B-2和S-6表格)向其客户、投资者和其他市场参与者披露某些网络安全风险和事件。gydF4y2Ba
关于ria,更新后的ADV表格第2A部分将要求ria提供可能对其服务产生重大影响的网络安全风险的信息,并用通俗易懂的语言描述他们计划如何评估、优先考虑和解决这些风险。ria还将被要求披露过去两个财政年度内发生的重大网络安全事件。在某些情况下,如果事件披露有重大变化,ria还将被要求更新和交付一份临时手册补充。gydF4y2Ba
这些披露的重要性的确定并不取决于风险是否会导致实际的网络事件;相反,SEC在《拟议规则》中明确指出,重要性取决于网络安全风险或事件的可能性和程度等因素:(1)可能发生,以及采取了哪些保障措施来预防;(2)可能或已经扰乱顾问提供服务的能力;(3)可能或已经导致敏感数据的丢失或泄露;(4)已经或可能伤害客户。gydF4y2Ba
基金还将被要求在注册声明中披露某些与网络安全相关的信息。特别是,基金将被要求披露过去两个财政年度的重大网络安全事件。《规则草案》还强调,各基金应考虑是否有必要在注册报表或本基金年度报告中作为“主要风险”披露网络安全风险。《规则草案》还将要求基金修改其招股说明书,如果网络安全风险或事件导致招股说明书中包含对重大事实的不真实陈述或遗漏了为使披露不具误导性所必需的重大事实。gydF4y2Ba
4.gydF4y2Ba帐簿及记录gydF4y2Ba:《规则草案》还涉及账簿和记录义务,包括ria和基金保持与上述要求(e .)有关的记录gydF4y2BaggydF4y2Ba表格ADV-C文件、政策和程序、年度审查报告、网络安全事件记录和风险评估文件)。gydF4y2Ba
为合规做好准备gydF4y2Ba
美国证券交易委员会已经表示,计划在2023年4月发布最终规则,我们预计它们可能会在2023年底生效。鉴于新要求的广度,ria和基金应考虑采取以下步骤为这些规则做准备:gydF4y2Ba
- 满足48小时违约通知期限的程序gydF4y2Ba:拟议的48小时网络安全事件通知时间表将具有挑战性,特别是在没有经过深思熟虑的准备的情况下。ria应考虑在内部实施明确的事件报告协议,起草事件通知,并获得必要的批准以在截止日期内发出通知。gydF4y2Ba
对于同样是上市公司的ria来说,考虑这些提议的规则和法规之间的相互作用将是很重要的gydF4y2Ba向公众提出的网络安全规则gydF4y2Ba这些公司建议对重大网络安全事件要求提交8-K表格。适用这两项规则的实体应考虑同时对ADV-C表格和8-K表格存档实施通知程序。gydF4y2Ba
- 网络安全政策和程序gydF4y2Ba:规则草案将要求ria和基金建立全面的网络安全政策和程序,以减轻网络安全风险。注册人应确保所需的政策和程序得到实施,或确保其现行政策和程序包含规则草案中规定的所有要求。在ria和基金构建其网络安全风险管理计划时,重要的是要记住,这些政策和程序不仅应符合规定,而且还必须是公司可操作的。gydF4y2Ba
因此,ria和基金应关注其风险评估程序,以确保他们能够识别、分类和优先考虑其系统和运营所带来的网络安全风险。如果没有有效的风险评估流程,ria和基金可能没有信息来制定有效和合规的政策和程序,以直接解决潜在的网络安全风险。gydF4y2Ba
由于ria和基金正在设计和更新政策和程序,也值得考虑年度审查程序。网络安全威胁形势在不断变化,这意味着今年有效的政策和程序明年可能就不足够了。ria和基金应考虑其政策和程序设计和审查过程是否不仅包含关于内部系统和操作的信息,而且还包含关于外部威胁状况变化的信息。gydF4y2Ba
如前所述,外部网络安全风险管理服务可用于实施此类政策和程序,前提是公司提供充分的监督。此外,确保合规的测试可能也很重要,因为SEC此前曾利用违反政策的情况进行更大规模的检查gydF4y2Ba执法行动gydF4y2Ba.gydF4y2Ba
- 履行新披露义务的程序gydF4y2Ba:《规则草案》要求ria和基金向SEC以及客户、投资者和其他市场参与者提供与网络安全风险或事件相关的某些披露。ria和基金应确保有明确和准确披露的程序。此外,ria和基金应该有一个系统,以便在新事实曝光时更新此类披露。这将需要考虑对公司来说什么是“重大”网络安全风险。gydF4y2Ba
- 事件发生时维持操作的系统gydF4y2Ba: SEC在《规则草案》中强调了在发生网络安全事件时继续运营的重要性。因此,ria和基金应考虑通过桌面练习测试其事件响应和业务连续性计划,以确定这些计划是否符合当前和可操作的要求,特别是在满足通知要求方面。gydF4y2Ba
- 文档gydF4y2Ba:仅仅有良好的技术网络安全控制是不够的——文档也是必要的,正如新的记录保存义务所强调的那样。当一家公司没有充分的证据证明其网络安全计划一直并保持合规时,违反账簿和记录的行为很容易成为SEC审查和执法活动的钩子。gydF4y2Ba
Debevoise将于2023年3月21日举行网络研讨会,讨论拟议规则、从当前SEC网络安全检查和执法活动中吸取的教训,以及ria和基金应如何准备拟议规则。网络研讨会的注册链接是gydF4y2Babetway888必威.gydF4y2Ba
***gydF4y2Ba
要订阅我们的数据博客,请点击gydF4y2Ba在这里gydF4y2Ba.gydF4y2Ba
本文的封面由DALL-E制作。gydF4y2Ba
