- A Securities and Exchange Commission (SEC) dos Estados Unidos introduziu novos regulamentos exigindo que as empresas de capital aberto divulguem ataques cibernéticos dentro de quatro dias úteis após determinar que são incidentes relevantes.
- Considerados relevantes pelos acionistas na tomada de decisões de investimento, os eventos relevantes são considerados materiais.
- Após ataques cibernéticos, os emissores privados estrangeiros também são obrigados a fornecer divulgações equivalentes.
- As divulgações devem conter informações sobre o ataque cibernético, incluindo sua natureza, escopo e cronologia, e devem ser incluídas em relatórios periódicos (especificamente em formulários 8-K).
- As novas regras entrarão em vigor em dezembro, mas as empresas menores terão 180 dias adicionais antes que as divulgações do Formulário 8-K sejam exigidas. Se a divulgação imediata representar riscos substanciais para a segurança nacional ou pública, o cronograma para divulgação pode ser estendido sob certas condições.
Os EUA Comissão de Segurança e Câmbio adotou novos regulamentos exigindo que as empresas de capital aberto divulguem ataques cibernéticos dentro de quatro dias úteis após a determinação de que são incidentes materiais.
Segundo o cão de guarda de Wall Street, eventos materiais são aqueles que os acionistas de uma companhia aberta considerariam significativos “na tomada de decisão de investimento.”
Além disso, a SEC adotou novos regulamentos exigindo que emissores privados estrangeiros forneçam divulgações equivalentes após ataques cibernéticos.
Informações importantes exigidas em divulgações de violação cibernética, SEC esclarece
“Se uma empresa perde uma instalação em um incêndio ou milhões de arquivos em um ataque cibernético, isso pode ter um impacto significativo nos investidores. Presidente da SEC Gary Gensler afirmou que a maioria das empresas públicas fornece aos investidores divulgação de segurança cibernética.
“Acredito que tanto as empresas quanto os investidores se beneficiariam de uma divulgação mais consistente, comparável e útil para decisões dessas informações. Ao garantir que as empresas divulguem informações relevantes sobre segurança cibernética, as regras de hoje beneficiarão investidores, empresas e mercados interconectados.”
As empresas listadas agora são obrigadas a incluir detalhes sobre o ataque cibernético (incluindo a natureza, escopo e cronograma do incidente) em arquivamentos de relatórios periódicos, especificamente em formulários 8-K.
As novas regras para relatar incidentes de segurança cibernética estão programadas para entrar em vigor em dezembro, ou 30 dias após a publicação no Federal Register.
No entanto, empresas menores receberão 180 dias adicionais antes que as divulgações do Formulário 8-K sejam exigidas. Se o procurador-geral dos EUA determinar que a divulgação imediata representaria um risco significativo para a segurança nacional ou pública, o cronograma para divulgação pode ser estendido em determinadas circunstâncias.
Divulgações feitas em tempo hábil para aumentar a transparência
A SEC divulgou intenções de adotar essas novas regras em março de 2022, há mais de um ano, em março de 2021. As novas regras (PDF) fornecer aos investidores avisos imediatos sobre incidentes de segurança que afetam as empresas listadas, melhorando assim sua compreensão da gestão e estratégia de riscos de segurança cibernética.
Eles exigem a divulgação das seguintes informações relacionadas à violação (se disponíveis no momento do preenchimento do Formulário 8-K):
- A data da descoberta do incidente e seu status atual (em andamento ou resolvido).
- Uma descrição concisa da natureza e escopo do incidente.
- Qualquer informação que tenha sido comprometida, alterada, acessada ou usada sem permissão.
- Os efeitos do incidente nas operações da empresa.
- Informações sobre as iniciativas de remediação em andamento ou concluídas da empresa.
No entanto, não se espera que as empresas afetadas divulguem os detalhes técnicos de seus planos de resposta a incidentes ou informações sobre possíveis vulnerabilidades que possam afetar suas respostas e ações de correção. De acordo com Lesley Ritter, vice-presidente sênior da Moody’s Investors Service, as novas regras aumentarão a transparência, mas provavelmente serão difíceis para empresas menores.
“As regras de divulgação de segurança cibernética adotadas hoje pela Comissão de Valores Mobiliários dos EUA fornecerão mais transparência a um risco opaco, mas crescente, além de maior consistência e previsibilidade”, disse Ritter ao BleepingComputer.
“O aumento da divulgação deve ajudar as empresas a comparar práticas e pode estimular melhorias nas defesas cibernéticas, mas empresas menores com menos recursos podem achar mais difícil atender aos novos padrões de divulgação.”
Crédito da imagem em destaque: Unsplash.
Source: SEC exige divulgações oportunas de ataques cibernéticos para empresas de capital aberto