ActiveDisclosure℠全方位功能为监管披露提效增益
Posted on: 20 Nov, 2020
2023年7月26日,美国证券交易委员会(SEC)颁布了新规,要求上市公司遭遇重大网络安全事件时须及时披露,并须按年披露有关其网络安全风险管理、策略和治理的重要信息。外国私人发行人(FPI)亦须进行相同的披露¹。
SEC主席Gary Gensler表示:“目前,许多上市公司都有向投资者提供网络安全相关披露。我认为,如果这些披露能以更加一致、可比和有决策价值的方式进行,公司和投资者都将受益更多。”
为协助FPI尽早做好应对工作,本文将讨论新规重点,包括披露内容及相应的时间规范。
主要披露要求及时间规范
重大网络安全事件的披露义务:在确定网络安全事件重大性后的四个工作日内,上市公司须根据8-K表格中新增的第1.05项进行披露,当中须描述事件的性质、范围和时间,以及事件对上市公司的实际或可能构成的重大影响。FPI亦须在6-K表格上进行相同的披露。
合规日期:上市公司必须在联邦登记册(Federal Register)发布新规公告后90天或2023年12月18日起(以较晚者为准)因应新规按时递交8-K表格或6-K表格。小型报告公司(Smaller Reporting Companies)则有额外的180天的宽限期。具体合规期限请留意联邦登记册最新公告²。
年度网络安全风险管理披露:新规在S-K条例(Regulation S-K)下加入了第106项,要求上市公司在10-K年报中描述其评估、识别和管理来自网络安全威胁的重大风险的流程(如有),以及描述网络安全威胁和过往网络安全事件构成或可能构成的重大影响。此外,上市公司须描述其董事会如何监督网络安全威胁风险,以及管理层在评估和管理网络安全威胁的重大风险方面的角色和具备的专业知识。FPI则应在其20-F年报中提供相应的披露。
合规日期:所有财政年度覆盖2023年12月15日或以后日期的10-K及20-F年报都必须根据新规披露网络安全风险管理相关细节。
例如:如财年结束日为12月31日的上市公司,必须于2023财年的年报(10-K或20-F表格)中开始披露(年报预期于2024年提交)。
iXBRL标记要求:在首次根据SEC新规披露有关网络安全风险信息的一年后,所有递交的相关披露须采用Inline XBRL(iXBRL)标记。
评论 (0)
发表你的评论