La SEC adoptó este miércoles normas que obligan a las empresas registradas a revelar los incidentes importantes de ciberseguridad que experimenten y a divulgar anualmente información sustancial sobre su gestión de riesgos de ciberseguridad, estrategia y gobernanza.
La comisión también ha adoptado normas que obligan a los emisores privados extranjeros a realizar divulgaciones comparables.
«Que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser material para los inversores», dijo el presidente de la SEC, Gary Gensler.
En la actualidad, muchas empresas públicas proporcionan información sobre ciberseguridad a los inversores. Sin embargo, tanto las empresas como los inversores se beneficiarían si esta información se divulgara de forma más coherente, comparable y útil para la toma de decisiones, agregó Gensler.
Las nuevas normas exigirán a los registrantes que revelen en el Formulario 8-K cualquier incidente de ciberseguridad que determinen que es material y que describan los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como su impacto material o su impacto material razonablemente probable en el registrante.
Por lo general, se deberá presentar un Formulario 8-K del Artículo 1.05 cuatro días hábiles después de que un registrante determine que un incidente de ciberseguridad es material. La divulgación puede retrasarse si el fiscal general de Estados Unidos determina que la divulgación inmediata supondría un riesgo sustancial para la seguridad nacional o la seguridad pública y notifica dicha determinación a la SEC por escrito.
Las nuevas normas también añaden un punto que requerirá que los registrantes describan sus procesos, si los hubiera, para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la ciberseguridad, así como los efectos materiales o los efectos materiales razonablemente probables de los riesgos de las amenazas a la ciberseguridad y los incidentes de ciberseguridad anteriores.
El punto 106 también exigirá a los solicitantes de registro que describan la supervisión por parte del consejo de administración de los riesgos derivados de las amenazas a la ciberseguridad y el papel y la experiencia de la dirección en la evaluación y gestión de los riesgos materiales derivados de las amenazas a la ciberseguridad.
Las normas exigen divulgaciones comparables por parte de los emisores privados extranjeros en el Formulario 6-K para incidentes materiales de ciberseguridad y en el Formulario 20-F para la gestión de riesgos de ciberseguridad, estrategia y gobernanza.
Las normas finales entrarán en vigor 30 días después de la publicación del comunicado de adopción en el Registro Federal.