美国证券交易委员会（SEC）实施了新规则，要求上市公司在被认为重大的网络安全事件发现四天内予以披露。所谓重大事件是指上市公司股东在做出投资决策时认为重大的事件。SEC 还要求外国私人发行人（foreign private issuers）在发生网络攻击后提供同等程度的披露。新的规则将在 12 月或《联邦公报（Federal Register）》上发表 30 天后生效，小型公司给予额外 180 天的推迟执行。特殊情况下，如果美国司法部长认为立即披露网络安全事件会对国家安全或公共安全构成重大风险，那么也可以推迟披露。

https://www.sec.gov/news/press-release/2023-139