美国SEC新规:上市公司必须在重大网络安全事件发生4天内进行信息披露
2022年3月9日,美国证券交易委员会(SEC)投票公布一项新规定,加强上市公司发生数据泄露事件时的披露机制,包括披露方式,以及需要在多快时间内披露等。
根据SEC提议中的措施,公司必须在当前的报告文件,包括8-K表格中详细说明何时遇到了风险,以及采取了什么策略来应对和管理风险。
新规定还要求上市公司定期报告情况,尤其是在确定重大网络安全事件的四个工作日内进行信息披露,帮助投资者了解已披露的重大信息安全事件的更完整信息,并要求公司对于信息安全风险对其财务状况的可能影响进行分析。目前,这些调整正在征求公众意见。SEC表示,这将帮助投资者更高效地评估信息安全风险,并为此做好准备。SEC长期以来一直警告企业,对信息安全攻击的披露不应仅限于对营收或资产的量化影响,企业还应该考虑理性投资者在做出投资决策时可能考虑的各方面定性因素。
SEC以三比一的投票结果发布了这一调整方案。近期,关于信息安全问题对市场和投资者的潜在影响,监管机构的担忧正日益加剧。而在多家美国公司遭到高调的信息安全攻击之后,拜登政府也在加大对这方面问题的关注。
SEC主席Gary Gensler表示:“我们网络的互联互通,对预测式数据分析的使用,以及对数据的渴望只会越来越明显。这将把我们的金融帐户、投资和私人信息置于风险中。”“这些信息以往被封闭在公司内部,而投资者想要更多地了解,股票发行人是如何管理这些日益严重的风险的。”
但共和党委员Hester Peirce认为,这些举措超出了SEC的使命。她表示:“这些方案将我们塑造为美国的信息安全指挥中心,但国会并没有赋予我们这个角色。”
美国商会Tom Quaadman称,SEC对信息安全风险管理的关注很好,但呼吁SEC与美国政府其他信息安全专家交流确保符合政策要求,“作为信息披露监管机构,SEC应该注意不要妨碍国家安全的优先事项,并将重点放在强有力的协调上。”