2023年7月26日,美国证券交易委员会(SEC)颁布了新规,要求上市公司遭遇重大网络安全事件时须及时披露,并须按年披露有关其网络安全风险管理、策略和治理的重要信息。外国私人发行人(FPI)亦须进行相同的披露¹。
SEC主席Gary Gensler表示:“目前,许多上市公司都有向投资者提供网络安全相关披露。我认为,如果这些披露能以更加一致、可比和有决策价值的方式进行,公司和投资者都将受益更多。”
为协助FPI尽早做好应对工作,本文将讨论新规重点,包括披露内容及相应的时间规范。
本文为DFIN#美股上市公司SEC合规系列文章的一部分,该系列为FPI提供美股合规的分析洞察,协助上市公司应对并遵循监管新规
主要披露要求及时间规范
重大网络安全事件的披露义务:在确定网络安全事件重大性后的四个工作日内,上市公司须根据8-K表格中新增的第1.05项进行披露,当中须描述事件的性质、范围和时间,以及事件对上市公司的实际或可能构成的重大影响。FPI亦须在6-K表格上进行相同的披露。
合规日期:上市公司必须在联邦登记册(Federal Register)发布新规公告后90天或2023年12月18日起(以较晚者为准)因应新规按时递交8-K表格或6-K表格。小型报告公司(Smaller Reporting Companies)则有额外的180天的宽限期。具体合规期限请留意联邦登记册最新公告²。
年度网络安全风险管理披露:新规在S-K条例(Regulation S-K)下加入了第106项,要求上市公司在10-K年报中描述其评估、识别和管理来自网络安全威胁的重大风险的流程(如有),以及描述网络安全威胁和过往网络安全事件构成或可能构成的重大影响。此外,上市公司须描述其董事会如何监督网络安全威胁风险,以及管理层在评估和管理网络安全威胁的重大风险方面的角色和具备的专业知识。FPI则应在其20-F年报中提供相应的披露。
合规日期:所有财政年度覆盖2023年12月15日或以后日期的10-K及20-F年报都必须根据新规披露网络安全风险管理相关细节。
例如:如财年结束日为12月31日的上市公司,必须于2023财年的年报(10-K或20-F表格)中开始披露(年报预期于2024年提交)。
iXBRL标记要求:在首次根据SEC新规披露有关网络安全风险信息的一年后,所有递交的相关披露须采用Inline XBRL(iXBRL)标记。
DFIN ActiveDisclosure℠为SEC网络安全信息披露合规提供支持
DFIN的财报创建和SEC备案云端平台ActiveDisclosure℠助力在美国上市的FPI应对SEC不断变化的监管要求,包括就网络安全信息披露新规涉及的6-K和20-F表格提供专业解决方案。
ActiveDisclosure℠具备多项强大且持续更新的功能,包括:
- iXBRL标记:智能化的iXBRL标记功能让SEC合规工作化繁为简,助公司实现快速和高准确性的财报创建体验
- 内置内容库(Content Library):用户可轻松将平台上已保存的内容段落摘要(Content Snippets)应用于相关披露文件中(如6-K表格、20-F表格和ESG报告等),提高披露的一致性与创建效率。
- DFIN专家支持:DFIN经验丰富的专家客服团队(包括EDGAR、iXBRL专家和注册会计师等)提供全天候合规备案支持,包括对监管新动向的及时解读,助上市公司更从容推进SEC合规相关工作。