Valores y La Comisión de Bolsa (SEC) ha dado un paso significativo para fortalecer las divulgaciones de ciberseguridad para las empresas públicas, adoptando nuevas reglas que tienen como objetivo proporcionar a los inversores información completa y estandarizada sobre gestión de riesgos, estrategia, gobernanza e incidentes de ciberseguridad.
Adoptado en julio de 2023, estas nuevas reglas surgen después de un largo proceso de elaboración de normas y comentarios públicos y sirven como reconocimiento oficial de que el peligro siempre presente de las amenazas a la ciberseguridad puede afectar la toma de decisiones de los inversores.
Lo más destacado: lo que necesitas saber
El punto crucial de las nuevas reglas de la SEC es que las empresas están obligadas a informar tanto de los incidentes materiales de ciberseguridad como de los procesos de gestión de riesgos de ciberseguridad de forma estandarizada y en unos plazos determinados. Más específicamente:
Divulgaciones de incidentes
La regla final requiere divulgaciones de informes actuales (Punto 1.05 en el Formulario 8K o 6-K) dentro de los cuatro días posteriores a los incidentes de ciberseguridad «materiales» que describan (1) la naturaleza, el alcance y el momento del incidente y (2) el impacto o probable Impacto del incidente en el registrante, incluido el impacto financiero y operativo.
Divulgaciones anuales
La regla final requiere divulgaciones en informes anuales (Formulario 10-K o 20-F) que describan (1) el proceso del registrante para identificar, evaluar y gestionar los riesgos de ciberseguridad; (2) cómo los riesgos de amenazas a la ciberseguridad han afectado materialmente o pueden afectar materialmente las operaciones comerciales, la estrategia o la situación financiera; (3) supervisión de los riesgos de ciberseguridad por parte de la junta directiva del registrante y (4) el papel de la administración en la evaluación y gestión de los riesgos de amenazas de ciberseguridad.
La SEC exige que las empresas informen de manera estandarizada los incidentes importantes de ciberseguridad y los procesos de gestión de riesgos de ciberseguridad.
Plazos
La norma final entrará en vigor el 5 de septiembre de 2023. Se requerirá una divulgación anual de ciberseguridad para los registrantes con años fiscales que comiencen el 15 de diciembre de 2023 y posteriores. La obligación de informar actual del Punto 1.05 comienza poco después, el 18 de diciembre de 2023, aunque las compañías más pequeñas que informan tienen hasta el 15 de junio de 2024. Además, a partir del 15 y 18 de diciembre de 2024, existen requisitos adicionales con respecto al formato de estos informes anuales y los informes actuales. divulgaciones, respectivamente (es decir, formatear estas divulgaciones en Inline XBRL para permitir la búsqueda y el análisis automatizados).
Los detalles: lo que dicen las reglas
Ha habido un incidente: ¿qué se debe revelar?
Las nuevas reglas requieren la divulgación de los incidentes de ciberseguridad considerados “materiales” (más sobre esto a continuación), así como la naturaleza, el alcance y el momento del incidente y el impacto razonablemente probable del incidente en la situación financiera y las operaciones del registrante.
Sin embargo, a diferencia de versiones anteriores del borrador de la regla, no existe la obligación de revelar información específica o técnica sobre la respuesta planificada del registrante al incidente o sus posibles vulnerabilidades en los sistemas de ciberseguridad.
¿Cuánto tiempo debe tomar la divulgación?
¡Dentro de cuatro días hábiles! Tener cuatro días para divulgar un incidente de ciberseguridad en un proceso público puede parecer corto, y lo es, pero los parámetros de la regla final son más flexibles de lo que parece.
El período de cuatro días solo comienza en el momento en que el solicitante de registro determina que ha sufrido un incidente de ciberseguridad «importante» y que la determinación de materialidad sólo debe realizarse «sin demoras indebidas».
Por muy flexible que sea, la norma no permite que un registrante prolongue una investigación hasta que el incidente haya sido completamente solucionado para retrasar la presentación de informes. La entidad registrada debe realizar la divulgación 8-K con información actualmente disponible y posteriormente complementar las divulgaciones originales según sea necesario modificando el Punto 1.05.
