专家说 | 网络安全披露新规重点披露要求介绍

概述

本节将详述美国证券交易委员会在今年夏天出台的网络安全披露新规，并重点讨论新规对外国私人发行人（FPI）的影响，以及对FPI披露的要求。

新规旨是加强和规范网络安全披露，主要包括以下两点：

1）上市公司应及时在表格6-K中报告任何重大网络安全事件；

2）上市公司应在表格20-F（16K事项）年度报告中披露企业网络安全风险管理、战略和治理。

新规适用于所有上市公司，并自2023年12月18日起生效。但小型报告公司（Smaller Reporting Company）享有过渡期间，自2024年6月5日起生效。

网络安全事件披露

网络安全事件的定义

我们首先从网络安全事件的定义开始。新规对网络安全事件的定义范围较广，即在上市公司信息系统上发生或通过上市公司信息系统进行、并且危及上市公司信息系统或其中任何信息的保密性、完整性或可用性的一次授权事件或一系列相关授权事件。

上市公司必须在表格6-K中披露重大网络安全事件的以下信息：

►

事件的重大方面，包括性质、范围和时间；

►

对上市公司及其财务状况和经营成果的重大影响或可能合理存在的重大影响。

重要性的定义

应该如何看待重要性？——这个问题很常见。

新规指出，在确定是否应报告事件时，重要性与美国最高法院对重要性的定义一致。

如果在作出投资决策时， “股东极有可能认为很重要的信息” ，或者该信息将 “显著改变所提供的整体信息” ，则具有重要性。网络安全事件的重要性分析与其他安全法律角度的重要性分析相同。

上市公司应结合所有相关事实和情况（包括定性和定量因素），全面客观地评估信息的总体组合。

从上文所述的定性角度，我们根据经验确定信息对于投资人做出投资决策是否重要。如是，则视为重要信息。例如，违规行为（如对于公司而言可能是比较重要的任何专有数据被盗/知识产权丢失、业务中断或声誉损害）是否会影响公司的经营活动。如果该事件对公司有重大影响，则视为重大事件。

从定量角度，我们根据《美国证券交易委员会工作人员会计公告第99号》（SEC Staff Accounting Bulletin No. 99）分析信息是否会对财务报表中的任何项目产生任何重大影响。

确定信息重要性时需要做出判断。网络安全事件的重要性评估通常比较复杂，各种规模的上市公司可能难以进行。许多上市公司建立了跨职能部门的披露委员会来分析信息的重要性，并与网络安全专家和外部安全顾问共同评估重要性。

风险管理、战略和治理披露

新规在表格20-F中新增了项目16K，要求FPI提供网络安全管理、战略和治理披露。

风险管理和战略

新规要求上市公司披露其流程，足够详细地评估、识别和管理网络安全威胁的重大风险，以便合理的投资人了解这些流程。新规提供以下可能披露的项目清单：

►

是否以及如何将任何此类流程整合到上市公司的整体风险管理系统或流程中；

►

上市公司是否在任何此类流程中使用评估人员、顾问、审计师或其他第三方；

►

上市公司是否制定流程来监督和识别与其使用第三方服务提供商相关的网络安全威胁的重大风险。

上市公司必须披露网络安全威胁的任何风险（包括由于之前的任何网络安全事件而产生的风险）是否已经或有合理可能对其业务战略、经营成果或财务状况产生重大影响。如是，披露产生的重大影响。

上市公司可以选择是否披露所使用的任何第三方服务提供商的名称或有关其服务的描述，因为这些信息可能会面临网络安全漏洞。

网络安全治理

新规还要求上市公司披露董事会在监督网络安全威胁的风险方面的职责。上市公司必须设立监督网络安全风险的董事会委员会或小组委员会，并说明向委员会告知此类风险的流程。新规不要求上市公司披露董事会或委员会讨论网络安全的频率，但上市公司可在描述向其董事会或相关委员会告知网络安全风险的流程时提供此类信息。

公司应当如何应对披露新规

准备新的网络安全披露需要跨职能部门的参与（例如，上市公司的总法律顾问、首席会计官、首席财务官、首席信息安全官、董事会成员和外部咨询顾问/专家），以确保披露符合要求，披露的信息完整准确。披露也需要权衡，因为上市公司不想过多披露和分享可能带来任何额外风险和敞口的公司信息。

供稿人介绍

杨擎源先生是安永华明会计师事务所（特殊普通合伙）专业业务合伙人。他于2010年加入Ernst & Young LLP San Jose Office从事审计工作，于2023年加入安永华明会计师事务所（特殊普通合伙）上海分所，负责为大中华地区的美国上市项目提供有关美国公认会计原则（U.S.GAAP）、美国公司上市会计监督委员会（PCAOB）、美国证券交易委员会（SEC）和美国萨班斯法案（SOX）的会计和审计技术咨询服务。杨先生为美国Santa Clara University会计学士，是美国注册会计师。

如需了解更多信息，欢迎联系：

杨擎源

合伙人，专业业务部

安永华明会计师事务所（特殊普通合伙）

marshall.yang@cn.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永官方微信公众号。如需修改内容，需要获得安永的书面确认。