SEC (美国证券交易委员会) 今天宣布了一项新规则，所有在美国上市的公司 (包括外国公司在美国上市) 在确定网络攻击对其财务产生重大影响后的四天内公布网络攻击的详细信息。

这意味着网络攻击从公司主动披露变成强制披露，如果上市公司没有按规定披露的话，则属于违规行为，可能会被处罚。

不过 SEC 也知道日常各种攻击非常普遍，所以强调只是那些可能会对公司财务产生重大影响的攻击事件才需要及时披露，至于其他攻击则还是由上市公司自行决定是否披露。

SEC 称无论一家公司在火灾中失去一个工厂还是在网络安全事件中失去数百万份文件，这对投资者来说可能都很重要。目前许多上市公司会向投资者披露网络安全相关的事件，但 SEC 认为如果这种披露更一致的话，可能对公司和投资者都有好处。

之前，不少公司对于网络攻击，尤其是勒索软件攻击会及时披露，但如果是数据泄露，有些公司则会藏着掖着，毕竟这可能对公司名声产生负面影响。

比如之前雅虎公司就隐瞒了多次数据泄露问题，推特之前也存在延迟透露数据泄露的情况，未来这种做法都是违规的。

有些情况可能确实不适合及时披露信息，所以 SEC 还有个例外情况，如果攻击事件可能会对公共安全构成重大风险，则公司可以最多延迟 60 天再披露。