礼德公告 | 在美上市企业网络安全事件披露时限短至四天

鉴于中国企业已经再次开启赴美上市之路，SEC新规将对已经在美上市的中国公司和即将赴美企业产生深远影响。礼德律师事务所的科技与数据团队拟从网络安全的视角，探讨新规对中国出海企业产生的影响，抛砖引玉。

随着公司运营的数字化转型、移动支付、云计算和IT外包服务的飞速发展，网络安全和数据泄露事件层出不穷。上市公司及其投资者因网络安全事件而付出的代价日益攀升。网络安全威胁对上市公司、投资者和市场参与者构成持续且不断升级的风险。

2022年3月，美国SEC提出了网络安全风险管理、战略、治理和事件披露规则草案。该草案拟加强对网络安全风险管理、战略、治理和重大网络安全事件的披露。新规的颁布标志着该草案已经正式落地。

新规8-K表第1.05项要求，上市公司应当在确定网络攻击属于重大事件后的4个工作日内进行披露。何为“重大事件”，新规沿用了美国现行证券法律项下的既有标准，为上市公司在确定是否为“重大事件”时提供了定量和定性的参考因素。

上述披露范围包括网络安全事件的性质、范围和时间表，以及该事件对上市公司及其财务状况和运营情况可能产生的重大影响。此外，表格6-K也将进行相应修改，要求外国私人发行人向任何境外证券交易所或证券持有人提供重大网络安全事件的相关信息。

新规S-K第106项要求上市公司披露其评估、识别和管理网络安全威胁重大风险的流程，以及网络安全威胁已经或可能对上市公司产生的重大影响。上述重大影响包括对上市公司的商业战略、经营业绩或财务状况等方面的影响。表格20-F也将进行相应修订，要求外国私人发行人定期披露，以符合新规S-K第106项的要求。

相较于2022年版的规则草案，新规更侧重实质性的披露义务。赴美上市企业应在进行披露时高度关注这种导向性的变化。

特别需要注意的是，新规S-K第106项还要求上市公司披露董事会对网络安全威胁风险的监督机制，以及管理层在评估和管理网络安全威胁重大风险方面的职责和经验。

由此可见，对于赴美上市的中国企业而言，依法设立网络安全监督和管理机制，明确网络安全威胁的风险汇报流程，明晰董事会或责任部门的监督职责，将成为上市公司网络安全管理合规工作的重中之重。

新规将在美国《联邦公报》上发布通过后第30天生效，将对在美上市公司的网络安全合规义务产生重大影响。对于大中型公司而言，必须在《联邦公报》公布之日起90天后或自2023年12月18日（以晚者为准），开始按照新规履行重大网络安全事件的披露义务。小型公司则可以在上述期限的基础上拥有额外180天的宽限期。中国在美上市企业应在上述窗口期内积极准备合规应对方案。

如何满足新规的披露要求，将给在美上市公司带来新的合规挑战。对于中国出海企业，除了关注美国证券监管机构的披露要求和必要的商业考量之外，也应对中国本土的网络安全和数据合规予以高度重视。本文特列举如下合规要点，供企业在实务中参考：

• 建立和完善网络安全管理监督机制，最大限度防止网络安全事件的发生。措施包括：
  

• 制定和建立健全网络安全的规章制度和操作规程

• 明确董事会和管理层关于网络安全管理和监督的职责

• 制定评估、识别和管理网络安全威胁重大风险的流程

• 确定网络安全负责人

• 确定网络安全责任主体，在公司商业运行中落实网络安全工作

• 定期对人员进行合规培训，提高网络安全风险意识

• 根据企业自身情况，采取适当技术措施，如数据分类、重要数据备份和加密等。

  
  

• 寻求专家团队尽快对企业当前的网络安全和数据保护的合规水平进行梳理和评估，进行合规差异分析，并采取有效整改和预防措施。

  
  

• 对于企业拟向美国SEC披露的信息，评估是否违反中国的数据法律对于个人信息或重要数据出境或提交给境外执法机构的规定。如需要，及时就如何平衡中美政府对于披露义务的监管要求寻求中美律师团队的专业法律意见。

如果您对此礼德公告有任何问题或想了解更多详情，请联系如下作者或者您经常合作的礼德律师。