La SEC propone divulgaciones de ciberseguridad obligatorias
los Comisión de Valores de EE.UU (SEC) propuso, el 9 de marzo de 2022, enmiendas a sus reglas que tienen como objetivo mejorar y estandarizar las divulgaciones de las empresas públicas con respecto a la seguridad cibernéticagestión de riesgos, estrategia, gobernanciay reporte de incidentes. Las enmiendas propuestas tienen como objetivo informar a los inversionistas sobre la gestión de riesgos, la estrategia y la gobernanza de una entidad registrada, y proporcionar una notificación oportuna a los inversionistas sobre incidentes de seguridad cibernética importantes.
El anuncio de la SEC incluyó una declaración del presidente de la SEC, Gary Gensler. Dijo, en parte: "Hoy, la seguridad cibernética es un riesgo emergente con el que los emisores públicos deben lidiar cada vez más. Los inversores quieren saber más sobre cómo los emisores están gestionando esos riesgos crecientes. Muchos emisores ya brindan información sobre seguridad cibernética a los inversores. Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera coherente, comparable y útil para la toma de decisiones".
Conclusiones clave
- La SEC propuso, el 9 de marzo de 2022, nuevas reglas que rigen las divulgaciones relacionadas con los riesgos de ciberseguridad.
- Incluirían tanto divulgaciones de planes de gestión de riesgos de ciberseguridad como informes sobre incidentes reales.
Detalles sobre las divulgaciones de seguridad cibernética propuestas
Las enmiendas propuestas requerirían informes actuales sobre incidentes de seguridad cibernética materiales y actualizaciones periódicas sobre incidentes de seguridad cibernética informados anteriormente. También requerirían informes periódicos sobre: las políticas y procedimientos del registrante con respecto a la identificación y gestión de riesgos de seguridad cibernética; cómo es el registrante Junta Directiva está ejerciendo la supervisión del riesgo de ciberseguridad; cómo la gerencia está evaluando y gestionando el riesgo de ciberseguridad; y cómo la gerencia está implementando políticas y procedimientos de seguridad cibernética. La propuesta también requeriría informes anuales o ciertos declaración de representación divulgaciones sobre la experiencia en seguridad cibernética, si la hay, entre los miembros de la junta directiva de la entidad registrada.
Comentarios adicionales del presidente de la SEC, Gary Gensler
El presidente de la SEC, Gary Gensler, emitió una declaración detallada sobre las enmiendas propuestas. Algunos de sus comentarios fueron extraídos del comunicado de prensa de la SEC, como se cita arriba. A continuación se presentan aspectos destacados adicionales.
"Hemos estado exigiendo la divulgación de información importante de las empresas desde la Gran depresion. El trato básico es este: los inversores pueden decidir qué riesgos desean tomar. Las empresas que están recaudando dinero del público tienen la obligación de compartir información con los inversores de forma regular".
"A lo largo de los años, nuestro régimen de divulgación ha evolucionado para reflejar la evolución de los riesgos y las necesidades de los inversores".
"La interconexión de nuestras redes, el uso de análisis predictivo de datos, y el deseo insaciable de datos solo se está acelerando, poniendo en riesgo nuestras cuentas financieras, inversiones e información privada. Los inversores quieren saber más sobre cómo los emisores están gestionando esos riesgos crecientes".
"Los incidentes de ciberseguridad, lamentablemente, suceden mucho. Pueden tener impactos financieros, operativos, legales y reputacionales significativos en los emisores públicos. Por lo tanto, los inversores buscan cada vez más información sobre los riesgos de ciberseguridad, lo que puede afectar sus decisiones de inversión y rendimientos".
"El lanzamiento de hoy mejoraría las divulgaciones de seguridad cibernética de los emisores de dos maneras clave".
"Primero, requeriría divulgaciones obligatorias y continuas sobre el gobierno, la gestión de riesgos y la estrategia de las empresas con respecto a los riesgos de ciberseguridad".
"En segundo lugar, requeriría un informe obligatorio y material de incidentes de ciberseguridad. Esto es fundamental porque tales incidentes materiales de ciberseguridad podrían afectar la toma de decisiones de los inversores".
Declaración disidente de la comisionada de la SEC, Hester M. Peirce
La comisionada de la SEC, Hester M. Peirce emitió una declaración disidente sobre las enmiendas propuestas. Los aspectos más destacados se presentan a continuación.
"Tenemos un papel importante que desempeñar para garantizar que los inversores obtengan la información que necesitan para comprender los riesgos de ciberseguridad de los emisores, si son materiales. Esta propuesta, sin embargo, coquetea con presentarnos como el centro de comando de seguridad cibernética de la nación, un papel que el Congreso no nos dio".
“Nuestro papel con respecto a las actividades de las empresas públicas, ciberseguridad o de otro tipo, es limitado. La Comisión regula las divulgaciones de las empresas públicas; no regula las actividades de las empresas públicas”.
"La propuesta, aunque está redactada en un lenguaje de divulgación estándar, guía a las empresas de manera sustantiva, aunque algo sutil. En primer lugar, los requisitos de divulgación de la gobernanza encarnan una microgestión sin precedentes por parte del Comisión de composición y funcionamiento tanto de los consejos de administración como de gestión de las empresas."
"Requisitos de divulgación tan precisos se parecen más a una lista de expectativas sobre cómo deberían ser los programas de ciberseguridad de los emisores y cómo deberían operar".
"[A]unque se encubren como un requisito de divulgación, las normas propuestas presionan a las empresas para que consideren adaptar sus políticas y procedimientos para ajustarse al enfoque preferido de la Comisión, incorporado en ocho elementos de divulgación específicos".
"Sin embargo, lo esencial de cómo una empresa gestiona su riesgo de ciberseguridad es mejor dejarlo en manos de la dirección de la empresa. en vista de sus desafíos específicos, sujeto a los controles y equilibrios provistos por la junta directiva y accionistas".
"El punto brillante de la propuesta son las normas relativas a la notificación de incidentes de ciberseguridad. No estoy convencido de que las normas sean necesarias a la luz de las orientaciones de la Comisión para 2018, que proporcionó nuestros puntos de vista sobre las obligaciones de divulgación de las empresas públicas en virtud de las normas existentes. Sin embargo, las reglas propuestas parecen proporcionar pautas sensatas para que las empresas las sigan al informar sobre incidentes de seguridad cibernética".