2024 年 6 月 24 日，美国证券交易委员会公司金融部发布了五份新的《合规与披露解释》（C&DIs），以明确 8-K 表格第 1.05 项下的网络安全事件报告，特别是涉及勒索软件付款的情况。这些更新是继公司财务总监 Erik Gerding 最近就网络安全披露提供指导后的又一次更新。2023 年 7 月 26 日通过的 Form 8-K 第 1.05 项要求上市公司在确定事件的重要性后四天内披露重大网络安全事件，详细说明事件的性质、范围、时间以及对公司财务状况和运营的影响。公司必须及时评估事件的重要性，并在出现新的重要信息时修改披露内容。 

新的 C&DI 强调，公司必须评估勒索软件攻击的重大性，即使在做出此判断之前，付款已解决了事件。付款导致事件停止并不能免除公司的这一义务。如果勒索软件攻击被视为重大事件，公司必须根据 8-K 表的第 1.05 项进行报告，无论付款是否在报告截止日期前结束事件。此外，网络保险对勒索软件付款的覆盖并不会自动使事件变得不重要。勒索软件支付的金额本身并不能决定事件的重要性；公司应考虑所有相关的定量和定性因素，包括对运营、财务和声誉的广泛影响。此外，如果公司经历了多起相关的网络安全事件，但这些事件单独来看并不重要，那么公司应评估这些事件合在一起是否构成重大事件。 

Gerding 总监的指导意见强调，只有重大网络安全事件才应在 1.05 项下披露。对于非重大事件的自愿披露，公司应使用不同的 8-K 表格项目，如项目 8.01，以避免投资者混淆。公司在进行重要性评估时，应同时考虑财务损失等定量影响和声誉损害、客户信任等定性影响。这种全面的方法可确保投资者获得清晰准确的信息，与美国证券交易委员会对健全的网络安全风险管理和 ESG 相关披露透明度的重视保持一致。 

资料来源 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/