美国证券交易委员会(SEC)于去年7月26日通过了关于网络安全披露规则的更新与补充,主要内容包括要求上市企业及时披露重大网络安全事故,且须按年披露有关企业网络安全风险管理、策略和治理的重要信息。自去年底以来,针对不同类型申报企业的披露要求已陆续生效。
根据规定,外国私人发行人(FPI)亦须与美国本土上市企业履行同样的披露义务,并通过20-F表格和6-K表格进行重大网络安全事件披露;此外,所有递交的披露必须采用Inline XBRL(iXBRL)标记。
DFIN于本月发布SEC网络安全披露规则概览,旨在为美国上市企业进行相关披露提供最新的实用参考。以下精华内容摘自该概览:
如何定义重大(Material)网络安全事故?
根据SEC,如果某事件极有可能对一位理性投资者的投资决策产生重要影响,则该事件应被视作重大事故。重大事故有机会显著影响企业的运营、财务状况、声誉和法律义务。
企业可以通过思考以下问题来辅助判断事件是否应被视作重大网络安全事故:
- 该事件的性质是什么?是否涉及敏感、受监管或非公开数据?(例如数据泄露、勒索软件攻击、系统遭受破坏等)
- 该事件对企业的系统、数据和运营的影响程度如何?
- 该事件对企业的财务有何影响?
- 受到影响的数据是否涉及任何监管或合规问题?
- 有哪些人员在应对和解决此事件?采取了哪些策略?
- 该事件会产生哪些潜在的法律和声誉风险?
SEC网络安全披露实例参考
以下为近期惠普(HPE)及微软(MSFT)进行SEC网络安全相关披露的实例:
填交表格,下载完整版网络安全披露规则概览(英文版),查看更多披露实例及预备步骤。
