新的美國證券交易委員會網路安全披露規則:為了保持合規,您需要知道的事項
背景介紹
美國證券交易委員會(SEC)透過採納新規則,為上市公司加固了網路安全披露,以提供投資者綜合且標準化的有關網路安全風險管理、策略、治理和事件的訊息。這些新規則於 2023 年 7 月透過,經過漫長的規則制定和公開評論流程,它們正式承認了網路安全威脅的持續存在可能會影響投資者的決策。重點內容:您需要知道的事項
新的 SEC 規則的核心內容是,公司必須按照標準化的方式和一定的時間表報告重要的網路安全事件和網路安全風險管理過程。具體內容如下:事件披露
根據最終規則,公司需要在“重要”網路安全事件發生後的四天內進行當前報告的披露(即在第 8K 表或 6-K 表中的 1.05 項),披露的內容包括事件的性質、範圍和時間以及事件對登記人的影響或可能的影響,包括對財務和運營的影響。年度披露
最終規則要求在年度報告(10-K 表或 20-F 表)中進行披露,內容包括: - 登記人識別、評估和管理網路安全風險的流程; - 網路安全威脅對業務運營、策略或財務狀況的重大影響或可能的重大影響; - 登記人董事會對網路安全風險的監督職責; - 管理層評估和管理網路安全威脅風險的角色。 SEC 要求公司按標準化的方式報告重大的網路安全事件和網路安全風險管理過程。截止日期
最終規則於 2023 年 9 月 5 日生效。年度網路安全披露將要求從 2023 年 12 月 15 日起開始財務年度的登記,當前報告披露的責任(即第 1.05 項)則在 2023 年 12 月 18 日起開始,盡管較小型報告公司的截止日期是 2024 年 6 月 15 日。此外從 2024 年 12 月 15 日和 18 日起,對於這些年度和當前報告披露的格式還有其他要求(即以內聯 XBRL 格式進行格式化,以實現自動搜尋和分析)。規則內容
出現安全事件——需要披露什麼?
新的規定要求披露被確保為“重大”的網路安全事件以及該事件的性質、範圍、時間和對登記人的財務狀況和運營的可能影響。然而與之前的草案規定不同的是,不要求披露有關登記人對事件的響應計劃或其潛在的網路安全系統漏洞的具體或技術性訊息。披露需要多快?
僅需四個工作日!在公開報告中披露網路安全事件只有四天的時間似乎很緊迫,而且確實如此,但最終規則的引數中內建了更多的靈活性。四天的時限僅從登記人確保遭遇了“重大”的網路安全事件的時刻開始計算,並且該重大程度的確保僅需要在“無不合理延遲”的情況下進行。儘管這一標準具有靈活性,但不允許登記人推遲報告,直到事件完全解決為止。登記人必須根據當時可用的訊息進行 8-K 的披露,然後根據需要透過對 Item 1.05 的修正補充原始的披露。評論與建議
這些新的 SEC 網路安全披露規則的實施是對當今網路安全威脅不斷增長的現狀的一個重要回應。它們旨在提高投資者對於上市公司網路安全風險的認識,從而幫助投資者做出更明智的投資決策。 這些規則強制要求公司更加透明地披露可能影響其財務狀況和運營的重大網路安全事件。這種透明度有助於投資者更好地評估公司的風險管理能力和應對能力。 然而一些公司可能會遇到適應這些規則的挑戰,特別是在確保何時披露網路安全事件是否“重大”方面。確保事件的重大程度是一個主觀的過程,因此公司需要制定清晰的內部準則來評估事件的影響。此外公司還需要建立和實施有效的網路安全風險管理程式,以提前識別和應對可能的風險。 作為建議,公司應該積極跟進這些規則和有關指南,確保及時披露合規並達到最高的訊息披露標準。公司應與其法律和網路安全顧問合作,以確保其披露遵從這些新的 SEC 規則。結論
新的美國證券交易委員會網路安全披露規則是對當前網路安全威脅情勢的回應,旨在為投資者提供更全面、標準化的網路安全訊息。這些規則強調了網路安全對於投資者的重要性,並要求公司按照一定的標準和時間表披露重大的網路安全事件和風險管理過程。 這些規則的實施對公司來說可能構成一些挑戰,但同時也提供了更多的透明度和機會,以提高投資者對公司風險管理和應對能力的信心。為了保持合規,公司應及時理解和遵守這些規則,並與相關專業顧問合作,確保披露遵從最高標準。Cybersecurity-新的美國證券交易委員會網路安全披露規則,合規,重要事項
