2023年7月26日,美国证券交易委员会(SEC)通过了一项规则,要求注册人披露他们经历的重大网络安全事件,并每年披露有关其网络安全风险管理、战略和治理的重大信息。委员会还通过了要求外国私人发行人进行类似披露的规则。
SEC主席Gary Gensler表示:“无论一家公司在火灾中失去一家工厂,还是在网络安全事件中失去数百万份文件,对投资者来说都可能是重要的”。“目前,许多上市公司向投资者提供网络安全披露。然而,我认为,如果以一种更一致、更具可比性和决策有用的方式进行披露,公司和投资者都会受益。通过帮助确保公司披露重大网络安全信息,今天的规则将有利于投资者、公司和连接互联网的市场”。
新规则将要求注册人在表格8-K的新项目1.05中披露他们确定为重大的任何网络安全事件,并描述事件的性质、范围和时间的重大方面,以及其对注册人的重大影响或合理可能的重大影响。
第1.05项表格8-K通常将在注册人确定网络安全事件是重大事件后四个工作日到期。如果美国司法部长确定立即披露将对国家安全或公共安全构成重大风险,并以书面形式通知委员会,则披露可能会延迟。
新规则还增加了S-K条例第106项,要求注册人描述其评估、识别和管理网络安全威胁重大风险的流程(如有),以及网络安全威胁和以前网络安全事件风险的重大影响或合理可能的重大影响。
第106项还要求注册人描述董事会对网络安全威胁风险的监督,以及管理层在评估和管理网络安全威胁重大风险方面的作用和专业知识。注册人的10-K表格年度报告中要求披露这些信息。
最终规则修订了表格20-F,纳入了与第106项类似的关于外国私人发行人风险管理、战略和治理的要求。此外,最终规则在可能引发当前表格6-K报告的项目中增加了“重大网络安全事件”。
根据新规定,外国私人发行人将被要求在表格6-K中向任何证券交易所或证券持有人提供发行人在外国司法管辖区披露或以其他方式公布的重大网络安全事件的信息。
美国证券交易委员会采用最终规则的既定目标之一是将公司文件中的披露合并到一个位置。正如美国证券交易委员会所指出的,许多公司在其文件的风险因素部分中涉及网络安全风险和事件,风险监督和治理通常在公司的委托书中涉及。然而,新规则要求披露内容出现在10-K表年度报告第一部分新指定的项目中,并且不允许将披露内容纳入委托书中。
因此,公司在起草关于网络安全风险管理、战略,以及10-K表格的治理,以与公司过去关于其网络安全治理和流程的公开声明保持一致,并评估未来如何加强或修改这些披露。
最终规则将在《联邦公报》公布采用版本后30天生效。10-K表和20-F表的披露将从2023年12月15日或之后结束的财政年度的年度报告开始。表格8-K和表格6-K的披露将在《联邦公报》公布之日后90天或2023年12月18日(以较晚者为准)开始。规模较小的报告公司在开始提供8-K表格披露之前还有180天的时间。
关于遵守结构化数据要求,所有注册人必须在首次遵守相关披露要求一年后开始,在内联XBRL中标记最终规则要求的披露。
没有回复内容