本文讨论了美国证券交易委员会（SEC）最近关于网络安全风险的行动。主要观点如下：

- 网络安全风险已经成为公司面临的主要商业风险之一。

- SEC已经采取行动，要求上市公司披露网络安全风险。这显示出SEC认识到网络风险对投资者和市场的重要性。 

- 披露网络风险不仅对投资者重要，也会促使公司加强网络防御，因为它们不愿意公开承认安全漏洞。

- 公司需要将网络风险管理纳入企业风险管理，并在董事会层面关注这个问题。

- SEC的举措表明监管机构将网络风险视为重要的商业风险。这将推动公司和整个行业更加重视网络安全。

- SEC的新规定与美国政府2023年3月发布的《国家网络安全战略》关系密切。该战略提出了提高网络安全的整体框架，SEC的规则是贯彻该战略的一个方面，即通过信息披露提高关键基础设施行业的网络安全治理。可以说SEC的举措与国家网络安全战略的整体方向一致。

2023年7月底，美国证券交易委员会采纳了新规定，要求公开交易的公司和外国私人发行人披露重大网络安全事件。他们还必须每年更新其网络安全风险管理政策和治理情况。让他们对自己的网络安全承担公司责任符合公众利益。

美国证券交易委员会（SEC）是美国的一个联邦政府机构，负责监管美国的证券市场，保护投资者，维护市场公平、有序和高效运作。它负责执行美国的证券法律，规范证券发行、交易和转让，要求公开披露信息，打击证券欺诈等。SEC由5名委员组成，隶属于美国财政部。

十多年前，SEC首次发布指导意见，称网络事件可能构成需要向股东披露的重大事件。2018年，SEC发布了额外指导意见，要求公司披露网络安全风险和事件。的确，许多公司已经非常重视这些问题。正如SEC主席加里·根斯勒所指出的，“许多上市公司向投资者提供网络安全披露。”

问题在于披露一直不一致。一些公司及时提供充分的信息披露。其他公司只提供最低限度的信息。SEC的最新规则试图协调和澄清以前的网络安全治理和报告要求，以便公司及其投资者知道期望什么。

掌握更多信息后，投资者可以奖励那些重视网络安全的公司。到目前为止，投资网络安全改进往往被视为对资产负债表的负担。新的规则可以扭转局面，促使公司改善网络安全态势。

这些规则的好坏取决于SEC对它们的执行情况。尽管2011年有指导意见，但直到2018年，SEC才因雅虎公司未向股东披露2014年数据泄露而对其进行罚款。规则只有在行为体因违反规则而受到惩处时才有意义。

SEC的新规则不仅仅是强迫公司在遭到破坏时承认错误。相反，SEC关注的是公司的责任。新的规则还要求公司描述其内部流程，以评估、识别和管理来自网络安全威胁的重大风险，以及董事会如何了解和监督网络安全风险。这一要求承认公司的网络态势不仅仅是首席信息安全官的责任域。最终，责任在于高级企业官员和董事会。因此，遗憾的是，最终规则省略了先前的规定，这些规定本会要求公司披露董事会成员的网络安全专业知识。这本来有助于确保董事会理解其应提供的监督。

这些规则于9月5日生效，公司将于12月开始提交披露。政策制定者和公众很快就能衡量网络风险如何影响财务运营，这提出了一个古老的棘手问题 - 收集的信息如何可用于改进网络安全?

该举措对我国完善网络安全治理体系的参考价值：

1. 强化重要行业对网络安全的治理，有利于提高整体网络安全水平。

2. 通过信息披露促使公司重视网络风险管理。 

3. 加强监管部门在网络安全监管方面的作用。

4. 提高投资者和公众对网络安全重要性的认识。

5. 为政府和企业之间在网络安全方面加强合作提供范例。