2022年3月9日，美国证券交易委员会（the Securities Exchange Commission，SEC）提出“关于网络安全风险管理、战略、治理和事件披露要求的拟议规则”，以规范和强化上市公司对网络安全风险管理、战略、治理和事件报告的披露流程。根据SEC提议中的措施，公司必须在当前的报告文件，包括8-K表格中详细说明何时遇到了风险，以及采取了什么策略来应对和管理风险。新规定还要求上市公司定期报告情况，尤其是在确定重大网络安全事件的四个工作日内进行信息披露，帮助投资者了解已披露的重大信息安全事件的更完整信息，并要求公司对于信息安全风险对其财务状况的可能影响进行分析。SEC表示，这将帮助投资者更高效地评估信息安全风险，并为此做好准备。

2022年5月9日，针对SEC提出的上述规则，美国银行家协会、银行政策研究所、美国独立社区银行家协会和美国中型银行联盟提出联合意见，意见认为：首先，拟议规则没有充分考虑其他政策目标；其次，拟议规则对8-K表格中重大网络安全事件的披露时间和内容提出了要求，但没有充分考虑此类披露在某些情况下可能造成安全风险和危害，因此建议在最终规则中，应将8-K表格中披露网络安全事件的时间更改为“注册人合理确定网络安全事件不再持续、公开披露该事件不会严重危害注册人的安全后”的四个工作日内，同时，鉴于此类披露会给注册人带来安全风险，不应要求其披露事件的补救程度。

【来源：赛博研究院】