XBRL US ha enviado una carta de comentarios a la Comisión de Bolsa y Valores (SEC) en respuesta a su propuesta sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes para empresas públicas. Señala la importancia de monitorear oportunamente los incidentes de ciberseguridad que podrían afectar negativamente a una empresa o industria individual, tanto para los inversores como para los reguladores.
«Apoyamos el requisito en la propuesta de que los datos de incidentes de ciberseguridad se informen en formato XBRL en línea para mejorar la puntualidad y la granularidad de los datos informados, y para permitir un seguimiento coherente de dichos incidentes a lo largo del tiempo. Capturar esta información en formato legible por máquina asegurará que la información de ciberseguridad esté más fácilmente disponible, accesible y comparable», dice XBRL US. Señala que las entidades informantes de hoy en día están muy familiarizadas con Inline XBRL, y las divulgaciones adicionales de ciberseguridad tendrán un costo mínimo.
Dada la importancia de los datos de ciberseguridad, XBRL US también afirma que planea convocar un grupo de trabajo para preparar un prototipo de taxonomía para los datos de incidentes de ciberseguridad, que espera que ayude a la SEC mientras trabaja para finalizar la nueva regla. «Desarrollar estándares efectivos que apoyen a los participantes del mercado requiere colaborar con todas las partes interesadas a lo largo de la cadena de suministro, desde las entidades informantes hasta los recolectores de datos y los usuarios de datos», observa la carta.
Comentario de XBRL US sobre la gestión de riesgos de ciberseguridad de la SEC, la estrategia, la gobernanza y la divulgación de incidentes
XBRL US envió una carta de comentarios a la Comisión de Bolsa y Valores (SEC) en respuesta a su solicitud de comentarios sobre la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la divulgación de incidentes. La carta de XBRL US estuvo de acuerdo con el requisito propuesto de que los datos de incidentes de ciberseguridad y las políticas de ciberseguridad se proporcionen en formato XBRL en línea, tanto narrativos como detallados etiquetados.
Dada la importancia de los datos de ciberseguridad, el Tribunal también tomó nota de un plan para convocar un grupo de trabajo encargado de preparar un prototipo de taxonomía de datos de incidentes de ciberseguridad que pueda ser de ayuda para la Comisión a medida que trabaja para finalizar esta norma.
RE: Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes, número de expediente S7-09-22
Gracias por la oportunidad de comentar sobre la propuesta de la Comisión de Bolsa y Valores (SEC) sobre Gestión de Riesgos, Estrategia, Gobernanza y Divulgación de Incidentes. Apreciamos la importancia del monitoreo oportuno de los incidentes de ciberseguridad que podrían afectar negativamente a una empresa o industria individual, para los inversores que rastrean el rendimiento de la inversión y para los reguladores que identifican y monitorean los posibles riesgos sistémicos causados por incidentes de ciberseguridad. Apoyamos el requisito en la propuesta de que los datos de incidentes de ciberseguridad se informen en formato XBRL en línea para mejorar la puntualidad y la granularidad de los datos informados, y para permitir un seguimiento coherente de dichos incidentes a lo largo del tiempo. La captura de esta información en formato legible por máquina garantizará que la información de ciberseguridad esté más fácilmente disponible, accesible y comparable.
XBRL US es una organización de estándares sin fines de lucro, con la misión de mejorar la eficiencia y la calidad de los informes en los Estados Unidos mediante la promoción de la adopción de estándares de informes comerciales. XBRL US es una jurisdicción de XBRL International, el consorcio sin fines de lucro responsable de desarrollar y mantener la especificación técnica para XBRL. XBRL es un estándar de datos libre y abierto ampliamente utilizado en los Estados Unidos, y en todo el mundo, para informes de empresas públicas y privadas, así como de agencias gubernamentales.
Como organización de estándares, hemos ayudado en el desarrollo de taxonomías que son utilizadas hoy en día por entidades estadounidenses que informan a los reguladores, incluida la Comisión Federal Reguladora de Energía (FERC) y la propia SEC. El desarrollo de estándares efectivos que apoyen a los participantes del mercado requiere colaborar con todas las partes interesadas a lo largo de la cadena de suministro, desde las entidades informantes hasta los recopiladores de datos y los usuarios de datos. Dada la importancia de los datos de ciberseguridad, tenemos previsto convocar un grupo de trabajo para preparar un prototipo de taxonomía de datos de incidentes de ciberseguridad que pueda ser de ayuda para la Comisión a medida que trabaja para finalizar esta norma.
Esta carta proporciona respuestas a preguntas específicas planteadas en la propuesta de la SEC:
Propuesta Pregunta 1. ¿Se beneficiarían los inversores de los informes actuales sobre incidentes materiales de ciberseguridad en el Formulario 8-K? ¿El requisito de divulgación propuesto del Formulario 8-K equilibra adecuadamente las necesidades de información de los inversores y las cargas de información para los solicitantes de registro?
Estamos de acuerdo en que los inversores se beneficiarían de la divulgación oportuna de los incidentes de ciberseguridad en el Formulario 8-K, y recomendamos que la Comisión exija que las portadas del Formulario 8-K publicadas sobre incidentes de ciberseguridad estén etiquetadas con XBRL, al igual que otros Formularios 8-K preparados por empresas públicas. También sugerimos que los números de artículo en el Formulario 8-K también se etiqueten para alertar a los inversores de que se ha informado de un incidente de ciberseguridad. Esto permitiría a los inversores y otros usuarios identificar fácilmente el tema de un Formulario 8-K que ayudaría en el análisis.
Propuesta Pregunta 9. ¿Deberían excluirse de los requisitos propuestos determinados solicitantes de registro que estarían dentro del ámbito de aplicación de los requisitos propuestos, pero que están sujetos a otros reglamentos relacionados con la ciberseguridad, o que se incluirían en el ámbito de aplicación de las normas de ciberseguridad recientemente propuestas por la Comisión para asesores y fondos? Por ejemplo, ¿deberían los requisitos de presentación de informes propuestos del Formulario 8-K o los otros requisitos de divulgación descritos en este comunicado, según corresponda, excluir a las empresas de desarrollo de negocios (“BDC”), ¿o a la matriz que cotiza en bolsa de un asesor?
Debe exigirse a todos los solicitantes de registro que informen de la misma manera para facilitar el uso de los datos y la comparabilidad. La capacidad de capturar todos los incidentes de ciberseguridad de la misma manera facilitaría la comprensión de las tendencias entre los participantes del mercado y eliminaría la necesidad de que los usuarios de datos recopilen información de múltiples fuentes de datos preparadas en diferentes formatos. Permitiría a los usuarios de datos recopilar datos de diferentes entidades informantes utilizando la misma aplicación y mezclar los datos en el mismo almacén de datos.
Propuesta Pregunta 40. ¿Deberíamos exigir a los solicitantes de registro que etiqueten las divulgaciones requeridas por el Punto 1? 05 propuesto del Formulario 8 ¿K y los Puntos 106 y 407 (j) de la Regulación S- ¿K en XBRL en Línea, como se propone? ¿Hay algún cambio que debamos hacer para garantizar un etiquetado preciso y consistente? Si es así, ¿qué cambios debemos hacer? ¿Deberíamos exigir a los solicitantes de registro que utilicen un lenguaje de datos estructurados diferente para etiquetar estas divulgaciones? Si es así, ¿qué lenguaje de datos estructurados deberíamos requerir? ¿Hay algún solicitante de registro, como las empresas de informes más pequeñas, las empresas de crecimiento emergente o los FPI que deberíamos eximir del requisito de etiquetado?
Estamos de acuerdo con la propuesta de exigir el formato XBRL en línea tanto para el etiquetado de bloques de texto de la narrativa como para el etiquetado detallado de las divulgaciones cuantitativas. Adoptar un enfoque de datos estructurados diferente, como el desarrollo de un esquema XML personalizado, resultaría en costos adicionales para todas las partes interesadas, una menor eficiencia en la adaptación a los cambios y la incapacidad de mezclar conjuntos de datos como el rendimiento financiero y los datos de incidentes de ciberseguridad. La adopción de un enfoque XBRL en línea es más eficiente, ya que los datos se renderizarán en formato legible tanto por humanos como por máquinas.
La mayoría de las entidades de informes de hoy en día están familiarizadas con la preparación de sus datos en XBRL en línea, por lo que el costo adicional se minimizará. Los usuarios de datos están acostumbrados a extraer y analizar datos en formato XBRL en línea. La adopción de una norma ampliamente utilizada limitará los costos para todas las partes interesadas.
Para garantizar un etiquetado coherente y preciso, instamos a la Comisión a que proporcione orientación detallada y concreta sobre el proceso de etiquetado, así como el acceso anticipado a un borrador de taxonomía, informes XBRL en línea de muestra y orientación técnica, junto con la capacidad de probar el archivo en un entorno de prueba EDGAR Beta antes de la fecha de cumplimiento. Idealmente, pedimos una ventana de 12-15 meses para las pruebas, con materiales como se señaló anteriormente disponibles desde el principio. Tomar estos pasos ayudará a los declarantes y a los proveedores que trabajan con ellos a implementar la regla de manera exitosa y eficiente.
Pregunta de la propuesta: Evalúe si las estimaciones de la Comisión sobre la carga de la recopilación de información propuesta son precisas.
Estamos de acuerdo con la afirmación de la Comisión de que el coste del formato XBRL será mínimo debido al hecho de que la mayoría de los solicitantes ya cumplen con los requisitos de presentación de informes XBRL y, por lo tanto, cuentan con el proceso y las aplicaciones para facilitar el proceso. El etiquetado de divulgaciones adicionales de incidentes de ciberseguridad será incremental a su flujo de trabajo actual.
Agradecemos la oportunidad de contribuir a la propuesta de la Comisión sobre ciberseguridad. Como se ha señalado anteriormente, informaremos a la Comisión una vez que tengamos un borrador de conjunto de normas desarrolladas para incidentes de ciberseguridad desarrolladas en un grupo de trabajo mediante la colaboración con varios participantes del mercado. Por favor, no dude en ponerse en contacto conmigo si tiene preguntas sobre nuestras respuestas, o si desea discutir más a fondo.
Respetuosamente
Campbell Pryde,
Presidente y CEO