美国证券交易委员会（SEC）最近发布了新指南，旨在帮助上市公司遵守其网络安全披露规则。该规则于 2023 年 7 月定稿，规定在美国交易所上市的公司必须在四天内报告重大网络安全事件。它还要求每年披露与网络安全有关的风险管理策略和治理结构。 

美国证券交易委员会于 2024 年 6 月 24 日发布的新指南提供了五项合规和披露解释 (C&DI)，明确了公司应如何评估和披露重大网络安全事件。该指南强调了对所有网络安全事件进行全面实质性评估的重要性，无论其直接财务影响如何。 

美国证券交易委员会指导意见的主要启示之一是，即使事件很快得到解决，或者赎金支付得到了保险保障，公司也必须确定网络安全事件的重要性。该指南还指出，如果小事件是相关的或利用了相同的漏洞，那么将这些事件放在一起考虑，就可能被视为重大事件。 

重要性评估对于确定是否需要向投资者披露网络安全事件至关重要。美国证券交易委员会强调，每次网络事件发生后都应进行这些评估，并听取外部证券法律顾问和公司董事会的意见。这可确保公司履行 SEC 规则规定的披露责任。 

对于企业来说，该指南强调了作为其整体 ESG 和可持续发展战略一部分的稳健重要性评估流程的必要性。它还强调了主动网络安全风险管理的重要性，以减轻潜在的财务和声誉影响。 

随着美国证券交易委员会越来越重视网络安全披露，上市公司必须优先考虑重要性评估，以确保其报告实践的合规性和透明度。 

资料来源 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html