- La Comisión de Bolsa y Valores (SEC) de los Estados Unidos introdujo nuevas regulaciones que requieren que las empresas que cotizan en bolsa divulguen los ataques cibernéticos dentro de los cuatro días hábiles posteriores a la determinación de que son incidentes materiales.
- Considerados significativos por los accionistas al tomar decisiones de inversión, los eventos materiales se consideran materiales.
- Después de los ataques cibernéticos, los emisores privados extranjeros también deben proporcionar divulgaciones equivalentes.
- Las divulgaciones deben contener información sobre el ataque cibernético, incluida su naturaleza, alcance y cronología, y deben incluirse en las presentaciones de informes periódicos (específicamente en los formularios 8-K).
- Las nuevas reglas entrarán en vigencia en diciembre, pero las empresas más pequeñas tendrán 180 días adicionales antes de que se requieran las divulgaciones del Formulario 8-K. Si la divulgación inmediata presenta riesgos sustanciales para la seguridad nacional o la seguridad pública, el plazo para la divulgación puede extenderse bajo ciertas condiciones.
La Comisión de Bolsa y Valores de EE. UU. ha adoptado nuevas regulaciones que exigen que las empresas que cotizan en bolsa divulguen los ataques cibernéticos dentro de los cuatro días hábiles posteriores a la determinación de que son incidentes materiales.
Según el organismo de control de Wall Street, los eventos materiales son aquellos que los accionistas de una empresa pública considerarían significativos “en la toma de una decisión de inversión.”
Además, la SEC adoptó nuevas regulaciones que requieren que los emisores privados extranjeros proporcionen divulgaciones equivalentes después de los ataques cibernéticos.
Información clave requerida en las divulgaciones de violaciones cibernéticas, aclara la SEC
“Ya sea que una empresa pierda una instalación en un incendio o millones de archivos en un ataque cibernético, puede tener un impacto significativo en los inversores. Presidente de la SEC, Gary Gensler declaró que la mayoría de las empresas públicas brindan a los inversores información sobre seguridad cibernética.
“Creo que tanto las empresas como los inversores se beneficiarían de una divulgación de esta información más consistente, comparable y útil para la toma de decisiones. Al garantizar que las empresas divulguen información material sobre ciberseguridad, las reglas de hoy beneficiarán a los inversores, las empresas y los mercados interconectados”.
Las empresas que cotizan en bolsa ahora deben incluir detalles sobre el ataque cibernético (incluida la naturaleza, el alcance y el cronograma del incidente) en las presentaciones de informes periódicos, específicamente en los formularios 8-K.
Las nuevas reglas para reportar incidentes de ciberseguridad están programadas para entrar en vigencia en diciembre, o 30 días después de su publicación en el Registro Federal.
Sin embargo, a las empresas más pequeñas se les otorgarán 180 días adicionales antes de que se requieran las divulgaciones del Formulario 8-K. Si el Fiscal General de los EE. UU. determina que la divulgación inmediata representaría un riesgo significativo para la seguridad nacional o la seguridad pública, el plazo para la divulgación puede extenderse en ciertas circunstancias.
Divulgaciones hechas de manera oportuna para mejorar la transparencia
La SEC reveló intenciones de adoptar estas nuevas reglas en marzo de 2022 hace más de un año, en marzo de 2021. Las nuevas reglas (PDF) proporcionar a los inversores avisos inmediatos de los incidentes de seguridad que afectan a las empresas que cotizan en bolsa, mejorando así su comprensión de la estrategia y la gestión de riesgos de ciberseguridad.
Requieren la divulgación de la siguiente información relacionada con el incumplimiento (si está disponible en el momento de la presentación del Formulario 8-K):
- La fecha del descubrimiento del incidente y su estado actual (en curso o resuelto).
- Una descripción concisa de la naturaleza y el alcance del incidente.
- Cualquier información que haya sido comprometida, alterada, accedida o utilizada sin permiso.
- Los efectos del incidente en las operaciones de la empresa.
- Información sobre las iniciativas de remediación en curso o completadas de la empresa.
Sin embargo, no se espera que las empresas afectadas divulguen los detalles técnicos de sus planes de respuesta a incidentes o información sobre posibles vulnerabilidades que podrían afectar su respuesta y acciones de remediación. Según Lesley Ritter, vicepresidente sénior de Moody’s Investors Service, las nuevas reglas aumentarán la transparencia, pero probablemente serán difíciles para las empresas más pequeñas.
“Las reglas de divulgación de seguridad cibernética adoptadas hoy por la Comisión de Bolsa y Valores de EE. UU. proporcionarán más transparencia en un riesgo opaco pero creciente, así como una mayor coherencia y previsibilidad”, dijo Ritter a BleepingComputer.
“Una mayor divulgación debería ayudar a las empresas a comparar prácticas y puede impulsar mejoras en las defensas cibernéticas, pero a las empresas más pequeñas con menos recursos les puede resultar más difícil cumplir con los nuevos estándares de divulgación”.
Crédito de la imagen destacada: Unsplash.
Source: La SEC exige la divulgación oportuna de ciberataques para las empresas que cotizan en bolsa