由于美国证券交易委员会(Securities and Exchange Commission)通过的一项规定,上市公司现在必须提前披露网络安全事件。在美国,美国证券交易委员会将要求上市公司在发现数据泄露和黑客攻击事件四个工作日后报告。
公司必须在8-K表格中披露任何网络安全事件。这些公开的文件通常会告知股东公司的重大变化,现在他们将包括一个新的1.05条款,用于网络安全事件。披露内容应包括“性质、范围和时间”,以及“对公司的重大影响或合理可能性”。
不过,为期四天的披露要求有一个例外。美国证券交易委员会表示,如果美国司法部长认定提醒股东注意这一事件“将对国家安全或公共安全构成重大风险”,则可以推迟披露。
此外,美国证券交易委员会制定了新的S-K条例第106项,将包括在公司的年度10-K表格文件中。这将要求企业描述其“评估、识别和管理来自网络安全威胁的重大风险”的流程。公司还必须披露其管理层评估和管理网络攻击重大风险的能力。
美国证券交易委员会主席加里•詹斯勒表示:“无论一家公司是在火灾中损失了一家工厂,还是在网络安全事件中损失了数百万份文件,对投资者来说都可能是重大损失。”“目前,许多上市公司向投资者提供网络安全信息。然而,我认为,如果以一种更一致、更具可比性和对决策有用的方式进行披露,公司和投资者都会受益。”
美国证券交易委员会将开始要求上市公司在《联邦公报》公布之日起90天内或2023年12月18日(以较晚者为准)披露数据泄露。与此同时,从2023年12月15日或之后结束的财政年度开始,公司必须将其网络安全协议纳入10-K表格。
希望这意味着我们很快就能更快地了解我们的数据何时被泄露。