[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar

SEC exige que empresas divulguem ataques em até 4 dias

A Securities and Exchange Commission (SEC), agência reguladora que controla o mercado de capitais nos Estados Unidos, adotou novas regras exigindo que as empresas de capital aberto divulguem ataques cibernéticos dentro de quatro dias úteis após determinar que são incidentes materiais.

De acordo com a comissão de valores mobiliários, incidentes materiais são aqueles que os acionistas de uma empresa de capital aberto considerariam importantes “na tomada de uma decisão de investimento”. A SEC também adotou novos regulamentos que obrigam os emissores privados estrangeiros a fornecer divulgações equivalentes após violações de segurança cibernética.

“Se uma empresa perde uma fábrica em um incêndio, ou milhões de arquivos em um incidente de segurança cibernética, pode ser importante para os investidores. Atualmente, muitas empresas públicas fornecem divulgação de segurança cibernética aos investidores”, disse o presidente da SEC, Gary Gensler, nesta quinta-feira, 27.

“Acho que empresas e investidores, no entanto, se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões. Ao ajudar a garantir que as empresas divulguem informações relevantes sobre segurança cibernética, as regras de hoje beneficiarão investidores, empresas e os mercados que os conectam.”

As empresas listadas agora devem incluir detalhes sobre o ataque cibernético — incluindo a natureza, o escopo e o momento do incidente — em relatórios periódicos, especificamente em formulários 8-K. Essas novas regras de relatórios de incidentes de segurança cibernética devem entrar em vigor em dezembro ou 30 dias após serem publicadas no Federal Register. No entanto, empresas menores terão 180 dias adicionais antes de serem obrigadas a fornecer as divulgações do Formulário 8-K.

Em alguns casos, o cronograma de divulgação também pode ser adiado se o procurador-geral dos EUA determinar que uma divulgação imediata representaria um risco significativo para a segurança nacional ou pública.

O anúncio segue os planos de adoção das novas regras reveladas pela SEC há mais de um ano, em março de 2022.

As novas regras fornecem aos investidores notificações imediatas sobre incidentes de segurança que afetam as empresas listadas, melhorando sua compreensão da gestão e estratégia de riscos de segurança cibernética.

Veja isso
SolarWinds diz que executivos podem enfrentar ação da SEC
SolarWinds submete acordo com acionistas à SEC para análise

Eles exigem a divulgação das seguintes informações relacionadas à violação (desde que estejam disponíveis no momento do preenchimento do Formulário 8-K): a data da descoberta e o status do incidente (em andamento ou resolvido); uma descrição concisa da natureza e extensão do incidente; quaisquer dados que possam ter sido comprometidos, alterados, acessados ou usados sem autorização; o impacto do incidente nas operações da empresa; informações sobre os esforços de remediação em andamento ou concluídos pela empresa.

No entanto, não se espera que as empresas afetadas divulguem especificações técnicas de seus planos de resposta a incidentes ou detalhes sobre possíveis vulnerabilidades que possam influenciar sua resposta ou ações de correção.Analistas do mercado de capitais acreditam que as novas regras aumentarão a transparência, mas provavelmente serão desafiadoras para empresas menores.