随着网络安全规则的不断增多,企业必须在一系列新的且往往相互重叠的主动性和反应性网络安全要求和指导下艰难前行。本法律更新概述了过去一年中新的网络安全规则和法规,包括来自美国证券交易委员会(SEC)、美国联邦贸易委员会(FTC)、美国联邦通信委员会(FCC)、美国住房和城市发展部(FHA,此处原文应为HUD而非FHA)、纽约州金融服务局(NYDFS)、美国联邦航空管理局(FAA)、美国金融业监管局(FINRA)和网络安全和基础设施安全局(CISA)等的规定。虽然这不是对要求和发展的详尽列表,但本法律更新可作为了解各行业关键监管发展的快速指南,特别是在扩大事件报告/披露要求或提高安全标准方面。从以下简要概述可以看出,这些变化普遍反映了各行各业对网络安全持续的关注、监管机构对快速报告网络事件的持续关注,以及监管机构在不同背景下对许多核心安全控制的共同关注。
虽然本更新侧重于美国法律,但全球范围内也有许多新的网络相关法规出台。例如,2024年10月17日,欧盟委员会通过了《网络和信息安全2号指令》(EU 2022/2555)(“NIS2”),该指令为那些对维持关键社会和经济活动至关重要的组织设定了网络规则。香港也提出了针对关键基础设施运营的网络立法建议。
2024年还带来了新的政策与监管活动,涉及数据共享和其他相关领域,Mayer Brown已在其他地方进行了审查。例如,今年年初,美国商务部提出了针对“基础设施即服务”(IaaS)提供商的规则,旨在“改进对外国恶意网络活动的检测和预防,并防止美国服务被用于损害美国利益”。此外,拜登总统发布了第14117号行政令,题为“防止令人担忧的国家获取美国人的大量敏感个人数据”,该行政令将限制向令人担忧的国家转移某些美国数据,以降低被恶意使用的风险。
扩大事件报告/披露
过去一年出现了许多与报告或披露网络安全事件相关的新要求,概述如下。总体而言,这些规则延续了关于在更短的时间内报告或披露更详细的网络事件信息的趋势。
SEC的网络披露规则。美国证券交易委员会(SEC)《上市公司网络安全事件及相关流程披露规则》(“网络披露规则”)要求公司以标准化的方式报告重大网络安全事件和某些网络安全风险管理流程。网络披露规则要求注册人在做出重大性评估后四个工作日内披露网络安全事件信息。该规则允许出于国家安全或公共安全原因推迟披露,但这需要得到美国司法部长的批准。
FTC对《保障规则》的修订。2024年5月13日,美国联邦贸易委员会(FTC)对《客户信息保障标准》(《保障规则》)的修订生效。该规则适用于受FTC管辖的金融服务公司,要求金融服务公司在发现涉及至少500名消费者信息的安全漏洞后尽快通知FTC,但最迟不得超过发现后的30天。该规则要求对未加密客户信息的获取(包括未经授权的访问)进行通知。
HUD的重大网络安全事件报告要求。5月23日,美国住房和城市发展部(HUD)发布了《抵押贷款函2024-10》,规定了重大网络安全事件(网络事件)的报告要求(“网络抵押贷款函”)。网络抵押贷款函要求联邦住房管理局(FHA)批准的抵押贷款机构在发现疑似网络事件的12小时内向HUD报告。
FCC的数据泄露报告要求。美国联邦通信委员会(FCC)《数据泄露报告要求》(FCC 23-111)(“泄露通知规则”)于2023年12月通过。该泄露通知规则要求电信中继服务提供商和运营商在确定泄露影响500名或以上客户的情况下,或虽然影响少于500名客户但运营商能够合理确定泄露不太可能对客户造成危害的情况除外,尽快但最迟不超过七个工作日内通知FCC、美国特勤局和联邦调查局。此外,必须在合理确定泄露后的30天内通知客户(除非执法部门要求延迟)。
CISA的报告要求。2024年4月,网络安全和基础设施安全局(CISA)发布了《关键基础设施网络安全事件报告法》(CIRCIA)报告要求的《拟议规则制定通知》,以实施该法规的要求。根据拟议规则,广泛的覆盖实体必须在合理认为发生覆盖网络安全事件的72小时内报告,并在支付赎金的24小时内报告赎金支付情况。CIRCIA的报告要求预计将在最终规则发布后于2026年生效。
提高安全标准
除了事件通知要求外,过去一年还持续采用了对受监管企业施加网络安全标准的更广泛网络安全法规。这些新的州和联邦规则在许多方面与现有规则相同,如多因素身份验证(MFA)、加密、风险评估、漏洞管理和第三方网络风险管理。这些全面的网络安全要求还包括上述新的网络安全事件通知要求。
纽约州卫生部的网络法规。10月2日,纽约州卫生部(NYSDOH)通过了针对该州医院的网络安全法规。这些法规要求医院实施某些安全控制,如外部访问内部网络时的MFA、基于风险的身份验证、年度风险评估和非公开信息的加密。它们还要求向NYSDOH报告网络安全事件。
美国联邦航空管理局提议的网络变更。8月21日,美国联邦航空管理局(FAA)提出了新的设计标准,以解决运输类飞机、发动机和螺旋桨的网络安全威胁。这些变更包括飞机和支持设备的网络安全标准设计,包括进行安全风险分析以识别网络安全威胁并缓解已识别的漏洞。公众评论期于10月21日结束,FAA共收到17条评论。
纽约金融服务局网络法规修正案。2023年11月1日,纽约金融服务局(NYDFS)公布了其网络安全法规的修正案。正如我们在法律更新中所讨论的,该修正案增加了治理要求,并扩大了通知和合规认证要求。涉及事件响应计划、治理、非公开信息(NPI)加密、资产清单和MFA的重要要求将在未来一年内生效。
NAIC示范法。在过去一年中,包括伊利诺伊州、俄克拉荷马州和罗德岛州在内的州保险监管机构采用了NAIC示范法,截至2024年10月3日,已有26个州监管机构采用了该法。2017年,美国保险监督官协会(NAIC)发布了其《保险数据安全示范法》(“NAIC示范法”),该法基于NYDFS的网络安全法规。NAIC示范法包括网络安全治理、第三方服务提供商监督、事件响应计划以及诸如访问控制和NPI加密等具体安全措施的规定。NAIC示范法还要求通知网络安全事件。
CSBS示范法。州银行监管者会议(CSBS)此前于2022年2月发布了其《非银行示范数据安全法》(“CSBS示范法”)的第一版,第二版于2024年2月发布。它基于FTC的《保障规则》,要求保障客户信息的安全,并要求对金融机构的信息安全计划进行某些更新。CSBS示范法还要求在发生通知事件时通知州专员。迄今为止,已有少数州(如明尼苏达州)采用了CSBS示范法。
SEC Reg S-P。6月21日,SEC公布了《S-P条例》的修正案,该修正案将要求券商、注册投资顾问、融资门户和注册转账代理等市场参与者保护客户记录和信息,并妥善处置客户信息。修正案还要求在网络安全事件影响敏感信息时通知受影响的个人。
FINRA指导。尽管美国金融业监管局(FINRA)尚未发布自己的网络安全规则,但它已就缓解第三方供应商网络安全风险提供了指导,包括对第三方提供商进行风险评估、为员工实施MFA、为高风险漏洞打补丁,以及修订事件响应计划以应对第三方事件。
来源:Mayer Brown LLP