搜索:
Debevoise数据博客
网络安全

美国证券交易委员会网络安全规则制定的冬末暴雪:拟议的BD网络安全规则和扩展的Reg - p和Reg SCI义务

由:

2023年3月15日,美国证券交易委员会(“SEC”)发布了一套拟议的新规则(“拟议规则”),其中包括:

  • 拟议的新网络安全规则针对经纪交易商、证券掉期交易商、主要证券掉期参与者、转让代理、各种市场基础设施提供商(国家证券交易所、清算机构和证券掉期数据存储库)和证券sro(统称为“市场实体”),这些机构将实施新的政策和程序要求以及事件通知义务(“BD网络提案”);
  • 规例S-P的修订(“Reg S-P”),要求实施事件响应计划,包括新的客户通知义务;扩大与保障“客户”信息和处置个人“消费者”信息有关的现有规定的范围(“保障和处置规则”);并实施新的记录保存要求(“Reg S-P提案”);和
  • 第SCI条(“第SCI条”)的修订扩大所涵盖实体的范围,以涵盖某些没有ATS和基于证券的掉期数据存储库的经纪交易商,并更新与政策和程序、事件通知和其他合规义务相关的要求(“regsci提案”)。

拟议规则遵循美国证券交易委员会2022年2月9日提出的网络安全规则注册投资顾问和注册基金(“IM网络提案”)和2022年3月9日的网络安全规则发行人(“发行人网络提案”)。美国证券交易委员会重新开放公众评论鉴于与这些拟议的新规则有关的政策和程序、事件响应、SEC通知、公开披露和记录保存的潜在重叠义务,《IM网络规则》的期限。

由于美国证券交易委员会提出的规则有重叠的要求,因此公司必须评估这些相互竞争的要求如何相互作用并影响其事件响应和合规计划,以及其监管通知和披露义务。

在这篇数据博客文章中,我们概述了拟议规则的关键要求,并提供了关键要点,以帮助公司导航并为可能采用这些复杂法规的版本做好准备。我们还将在会议期间讨论这些问题betway888必威,以及随后的博客文章。

屋宇署网络建议书的主要规定

BD网络提案将为卖方金融机构和各种市场基础设施提供商制定新的网络安全义务。对于经纪自营商,BD网络提案区分了(i)那些重大网络事件可能对市场构成更高风险的公司,这些公司与所有其他类型的受保机构一起被定义为“受保实体”,以及(ii)更有限的经纪自营商,它们将受到较少的要求。“承保实体”将包括所有(1)承运经纪自营商;(二)引进经纪自营商;(三)拥有5000万美元以上监管资本的经纪自营商;(四)资产在10亿美元以上的经纪自营商;(五)作为做市商的经纪自营商;(6)经营另类交易系统(ATS)的实体。所有其他经纪自营商都被排除在这个“承保实体”类别之外(统称为“其他经纪自营商”),并且将受到较少的要求。

BD网络提案将为承保实体和其他经纪自营商制定与事件响应和通知、披露以及政策和程序相关的要求,包括:

  1. 即时事件通知:所有受保实体和其他经纪自营商在有“合理依据得出重大网络安全事件已经发生或正在发生的结论”时,应立即向美国证券交易委员会提供书面电子通知。为此目的,“重大”事件是指严重破坏或降低目标的关键操作,或导致未经授权的访问,从而导致或合理可能导致对目标或与目标交互的任何其他人造成重大伤害的事件。受保实体还应在有合理依据得出重大网络安全事件已经发生或正在发生的结论后,“及时但不迟于48小时”,通过向EDGAR提交拟议表格SCIR第一部分,报告有关该事件的其他信息。受保实体还需要在(1)确定先前报告的信息已变得严重不准确后不迟于48小时内修改拟议表格SCIR的第一部分;(2)了解与先前报告的事件有关的新的重要信息;(3)重大网络安全事件的解决;或(4)与重大网络安全事件有关的内部调查结论。第一部分不会公开。
  2. 公开披露风险和事故:受保实体将被要求在拟议的SCIR表格第二部分(在EDGAR上提交)以及其公共网站的一个易于访问的部分中进行两类网络安全披露(并在重大变更的情况下进行更新):(1)对可能对受保实体的业务和运营产生重大影响的网络安全风险的概要描述(包括受保实体如何“评估、优先考虑和解决这些网络安全风险”);(2)“对本日历年或上一日历年发生的每一起重大网络安全事件的概要描述”。
  3. 网络安全计划:受保实体和其他经纪自营商将被要求实施书面政策和程序,这些政策和程序应考虑到公司的规模、业务和运营情况,合理设计以解决其网络安全风险。这些政策和程序需要每年进行审查,以“评估网络安全政策和程序的设计和有效性”,包括应对不断变化的网络安全风险。受保实体需要在书面报告中记录年度审查情况,还需要遵守更具体的政策和程序要求,这将需要解决“(1)风险评估;(2)用户安全与访问;(3)信息保护;(4)网络安全威胁与漏洞管理;(5)网络安全事件响应和恢复。”
  4. 帐簿和记录:对于受保实体和其他经纪自营商,还将引入新的记录保存要求,包括所需的政策和程序、事件通知、表格SCIR披露、风险评估和年度审查。

对规例S-P的建议修订

正如我们在之前的数据博客文章中所讨论的(在这里在这里), Reg S-P一直是SEC执法活动的活跃领域。Reg S-P建议的主要修订建议包括:

  1. 事件响应计划:将要求经纪自营商、注册投资顾问、注册基金和转让代理(统称为“受保护机构”)实施一项事件响应计划,该计划被合理地设计用于检测、响应和从未经授权的访问或使用客户信息中恢复。该计划将需要涵盖第三方服务提供商以及受保机构本身的安全妥协所带来的危害风险。
  2. 客户通知:一般要求受保机构在得知发生或合理可能发生涉及未经授权访问或使用“敏感客户信息”的事件后,尽快(但不迟于30天)通知受影响的客户。“敏感客户信息”将被定义为单独或与任何其他信息一起的任何客户信息,这些信息的泄露可能对所识别的个人造成合理的重大伤害或不便的风险。Reg S-P提案包含关于客户通知的“肯定推定”:除非投保机构在对事件进行“合理调查”后确定敏感客户信息尚未或合理不太可能被用于造成重大伤害或不便,否则需要通知。
  3. 扩大保障和处置规则:是否将《保障和处置规则》扩大到涵盖涵盖机构所拥有的所有“客户信息”,无论该机构是否与相关个人有客户关系,并将先前存在的《保障和处置规则》的适用性扩大到所有转让代理,包括这两个在美国证券交易委员会和其他监管机构注册的公司。
  4. 记录:将要求保存关于遵守《保障和处置规则》的书面记录;修改《1940年投资公司法》、《1940年投资顾问法》和《1934年证券交易法》下的记录保存条款;并增加未根据《投资公司法》注册的投资公司的备案要求。
  5. 年度私隐声明的例外:将使regs - p现有的年度隐私通知要求与GLBA例外一致,以符合某些要求的金融机构的年度通知交付要求。

Reg S-P不适用于根据1940年《投资公司法》第3(c)(1)或3(c)(7)条获得注册豁免的私人基金(直接或作为注册投资顾问的机构客户),Reg S-P提案不建议对这种方法进行任何更改。Reg S-P提案提供了最终修订生效日期后12个月的拟议合规日期。

对规例SCI的建议修订

Reg SCI提案包括有关以下方面的修订:(1)受监管实体的范围;(2)系统分类与生命周期管理;(3)第三方/供应商管理;(4)网络安全;(5) SCI评审;(6)现行SCI行业标准的作用;(七)备案及有关事项。主要建议包括:

  1. “SCI实体”定义的扩展SCI实体的定义将扩大到包括某些大型经纪交易商、注册的基于证券的掉期数据存储库;并豁免清算机构。如果经纪交易商(i)其在过去四个日历季度中至少两个季度的总资产超过“所有证券经纪交易商总资产”(由联邦储备委员会报告)的5%,则须遵守全套要求;或(ii)四类股票(NMS股票、上市期权、美国国债或美国机构证券)的交易量相对于报告市场超过10%。
  2. 增强的政策和程序要求(重点是第三方提供商):SCI实体的政策和程序将需要包括解决SCI系统和间接SCI系统的库存、分类和生命周期管理的程序;对提供或支持SCI或间接SCI系统的第三方提供商(包括云服务提供商)的管理和监督;解决某些第三方供应商不可用的BC/DR计划(以及由此产生的任何重大影响);未经授权访问SCI系统及其信息;并确定当前SCI行业标准与每个此类政策和程序是一致的。
  3. 更频繁的渗透测试:将SCI实体渗透测试的范围和所需频率增加到至少每年一次,而不是每三年一次。
  4. “系统入侵”的扩展定义将修改“系统入侵”的定义,使其多包括两个网络事件:(1)任何破坏或显著降低SCI系统正常运行的网络安全事件(g。(DDOS攻击、远程指挥控制攻击、供应链攻击);(2) SCI实体根据既定的合理书面标准确定的任何重大的未经授权进入SCI系统或间接系统的企图。此类事件也需要在Reg SCI现有的通知框架下通知SEC。

关键的外卖

  1. 美国证券交易委员会的评论程序。鉴于重叠和重要的拟议监管义务的数量,考虑提交对拟议规则的评论。
  2. 映射到规则的跨职能风险评估。考虑风险评估,评估政策和程序,以及技术网络安全控制,并映射到拟议的规则(以及其他适用的监管框架)。包括业务成员、内部审计和遵从性的跨企业团队或委员会可以确保在与安全团队合作进行这些评估时不会遗漏遵从性义务。虽然这种评估的特权适用性存在争议,但我们的一些客户发现,使用外部法律顾问和技术供应商来协助这些评估是有帮助的。
  3. 在扩大的范围和定义下审查每条规则的适用性。正如美国证券交易委员会自己认识到的那样,拟议规则有重叠的要求,因为单个实体可能受到多套规则的约束。例如,某些SCI实体也是BD网络提案下的“受保护实体”,并且还将单独遵守regs - p的要求。同样,注册投资顾问(已经受到Reg S-P的约束)也将受到IM网络提案的约束。注册人要考虑的第一步是确定和评估所有可能新增或增加的义务。对于一些受拟议规则覆盖的公司来说,完全实施这些要求可能需要大量的时间和资源,因此,他们可能希望尽早开始。
  4. 综合方法。SEC还认识到,注册人可能会通过政策、程序和事件响应的全球框架来遵守拟议的新义务。考虑对所涵盖的领域(如事件响应、策略和程序、通知和记录保存)采取整体视图。
  5. 遵守通知和报告义务。不同的拟议监管框架具有不同的通知时间表、义务和通知格式。考虑准备一个决策矩阵,用于评估每个通知触发下的网络安全事件,包括在确定特定网络安全事件是否符合“重大”报告目的时要考虑的因素。

如欲订阅数据博客,请按在这里

Debevoise数据门户,帮助客户快速评估并遵守各州、联邦和国际的违约通知义务。

作者

Luke Dembosky是Debevoise华盛顿办事处的诉讼合伙人。他是公司数据战略和安全实践的联合主席,也是白领和监管辩护小组的成员。他的业务重点是网络安全事件的准备和应对、内部调查、民事诉讼和监管辩护,以及国家安全问题。您可以通过ldembosky@debevoise.com与他联系。

作者

Avi Gesser是Debevoise数据战略与安全小组的联合主席。他的业务重点是就广泛的网络安全、隐私和人工智能问题向大公司提供咨询。您可以通过agesser@debevoise.com与他联系。

作者

Erez是Debevoise数据战略与安全集团的诉讼合伙人和成员。他的业务重点是为大型企业提供广泛的复杂、高影响的网络事件响应事宜以及与数据相关的监管要求方面的建议。可以通过eliebermann@debevoise.com与埃雷兹联系

作者

Marc Ponchione, Debevoise投资管理集团合伙人,专注于就资产管理行业出现的各种监管、合规和交易问题向金融服务公司提供咨询。您可以通过mponchione@debevoise.com与他联系。

作者

Julie M. Riewe是Debevoise's White Collar & Regulatory Defense Group的诉讼合伙人和成员。她的业务重点是与证券相关的执法和合规问题以及内部调查,她在涉及私募股权基金、对冲基金、共同基金、业务开发公司、单独管理账户和其他资产管理公司的事务方面拥有丰富的经验。可以通过jriewe@debevoise.com与她联系。

作者

Jeffrey L. Robins是Debevoise Banking Group的公司合伙人和成员。他的业务重点是代表经纪交易商、掉期交易商、银行、证券交易所、行业协会和买方机构处理监管和交易事宜。您可以通过jlrobins@debevoise.com与他联系。

作者

Kristin Snyder是诉讼合伙人,也是该公司白领和监管辩护团队的成员。她的业务重点是与证券相关的监管和执法事宜,特别是针对私人投资公司和其他资产管理公司。

作者

Charu a . Chandrasekhar是纽约办事处的诉讼律师,也是该公司白领和监管辩护小组的成员。她的业务重点是证券执法和政府调查、内部调查和复杂的商业诉讼。

作者

Sheena Paul是投资管理集团美国监管部门的法律顾问,总部设在华盛顿特区。Paul女士专注于为投资经理提供监管建议,尤其关注私募股权客户。她与本所的其他业务部门密切合作,就国内和跨境公司和资本市场交易以及执法事宜提供监管建议。可以通过spaul@debevoise.com与她联系

作者

Suchita Mandavilli Brundage是Debevoise律师事务所诉讼部的助理。可以通过smbrundage@debevoise.com与她联系。

作者

Michael R. Roberts是Debevoise & Plimpton全球数据战略和安全集团的高级合伙人,也是该公司诉讼部门的成员。他的业务重点是隐私、网络安全、数据保护和新兴技术事务。您可以通过mrroberts@debevoise.com与他联系。

作者

Mengyi Xu, Debevoise律师事务所诉讼部助理,注册信息隐私专家(CIPP/US)。作为本所跨学科数据战略与安全部门的一员,她帮助客户应对复杂的数据驱动挑战,包括与网络安全、数据隐私、数据和人工智能治理相关的问题。梦易的网络安全和数据隐私业务侧重于事件准备和响应、法规遵从和风险管理。可以通过mxu@debevoise.com与她联系。

作者

内德·特勒斯是诉讼部的法律助理。

相关的帖子

Baidu
map