Publicado el 28 de junio de 2024 por Editor
El 20 de junio de 2024, Erik Gerding, Director de la División de Finanzas Corporativas de la Comisión de Bolsa y Valores de Estados Unidos (SEC), emitió una declaración que aborda la divulgación selectiva de información sobre incidentes materiales de ciberseguridad. Esto sigue a la adopción por parte de la SEC de reglas el año pasado que requieren que las compañías públicas revelen tales incidentes según el Artículo 1.05 del Formulario 8-K.
Gerding aclaró que estas normas no impiden a las empresas compartir información adicional sobre un incidente de ciberseguridad importante con sus contrapartes comerciales. A pesar de los conceptos erróneos, las nuevas normas de la SEC no impiden que las empresas discutan el incidente más allá de lo que se incluye en la divulgación del Formulario 8-K. Compartir detalles con proveedores, clientes u otras empresas afectadas puede ayudar en la remediación y el cumplimiento de los requisitos regulatorios.
La declaración también abordó las preocupaciones sobre el Reglamento de Divulgación Justa (Reglamento FD), que obliga a la divulgación pública de cualquier información material no pública compartida selectivamente con profesionales del mercado o accionistas. Gerding enfatizó que el Reglamento FD no impide el intercambio privado de información material sobre ciberseguridad, siempre que la información sea inmaterial o se comparta con partes no cubiertas por el Reglamento FD. Además, las divulgaciones realizadas en virtud de acuerdos de confidencialidad o a personas con un deber de confianza no requieren divulgación pública según el Reglamento FD.
La comunicación transparente y conforme a las normas sobre incidentes de ciberseguridad es esencial para mantener la confianza y mitigar los riesgos en el ecosistema financiero. Una mayor claridad en las normas de divulgación respalda el objetivo más amplio de una información financiera fiable y de alta calidad, esencial para la toma de decisiones informada por parte de los inversores y las partes interesadas. Para nosotros, tiene sentido.
Para más detalles, lea el comunicado aquí.
DIVULGACIÓN de ciberseguridad SEC EE. UU.
Divulgación selectiva de información sobre incidentes de ciberseguridad
Erik Gerding, Director, División de Finanzas Corporativas
20 de junio de 2024
[*] El año pasado, la Comisión adoptó normas que exigen a las empresas públicas que revelen los incidentes de ciberseguridad importantes en virtud del punto 1.05 del Formulario 8-K. [1] Desde entonces, el personal de la División de Finanzas Corporativas ha escuchado afirmaciones de que esas normas pueden impedir que una empresa comparta información adicional sobre un incidente de ciberseguridad importante con otros, incluidas sus contrapartes comerciales. Aparentemente, algunas empresas tienen la impresión de que, si experimentan un incidente de ciberseguridad importante, las nuevas normas de la Comisión les prohíben hablar de ese incidente más allá de lo que se incluyó en el punto 1.05 del Formulario 8-K que revela el incidente. Ese no es el caso.
El punto 1.05 del Formulario 8-K exige que una empresa que experimente un incidente de ciberseguridad que determine que es material describa los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como el impacto material del incidente o el impacto material razonablemente probable en la empresa, incluida su situación financiera y los resultados de las operaciones. Nada en el punto 1.05 prohíbe a una empresa discutir en privado un incidente material de ciberseguridad con otras partes o proporcionar información sobre el incidente a dichas partes más allá de lo que se incluyó en un Formulario 8-K del punto 1.05. [2] Esas partes pueden incluir contrapartes comerciales, como proveedores y clientes, así como otras empresas que puedan verse afectadas o en riesgo por el mismo incidente o actor de amenazas. [3] Reconozco que compartir información sobre un incidente material de ciberseguridad con esas partes puede ayudar con los esfuerzos de remediación, mitigación o prevención de riesgos y puede facilitar el cumplimiento de esas partes con sus propias obligaciones de divulgación e informe de incidentes, si así lo exigen las reglas de la Comisión u otros regímenes regulatorios.
También reconozco que las empresas podrían posiblemente tener inquietudes de que la divulgación privada de información adicional sobre un incidente de ciberseguridad material más allá de lo que se incluyó en un Formulario 8-K del Punto 1.05 podría implicar las reglas de la Comisión sobre divulgaciones selectivas que se establecen en el Reglamento FD. Es importante reiterar el alcance del Reglamento FD. [4] Como es bien sabido, el Reglamento FD requiere la divulgación pública de cualquier información material no pública que haya sido divulgada selectivamente a profesionales del mercado de valores o accionistas, como se especifica en el reglamento. [5] Dependiendo de la información divulgada y las personas a quienes se divulga esa información, las discusiones sobre un incidente de ciberseguridad pueden implicar el Reglamento FD.
Dicho esto, nada de lo dispuesto en el Punto 1.05 altera el Reglamento FD ni lo hace aplicable de manera diferente a las comunicaciones relacionadas con incidentes de ciberseguridad. Hay varias formas en las que una empresa pública puede compartir de manera privada información sobre un incidente de ciberseguridad material más allá de lo que se divulgó en su Formulario 8-K del Punto 1.05 sin implicar al Reglamento FD. Por ejemplo, la información que se comparte de manera privada sobre el incidente puede ser inmaterial, o las partes con las que se comparte la información pueden no ser uno de los tipos de personas cubiertas por el Reglamento FD. [6] Además, incluso si la información que se comparte es información material no pública y las partes con las que se comparte la información son los tipos de personas cubiertas por el Reglamento FD, puede aplicarse una exclusión de la aplicación del Reglamento FD. [7] Por ejemplo, si la información se comparte con una persona que tiene un deber de confianza hacia el emisor (como un abogado, banquero de inversiones o contador) [8] o si la persona con quien se comparte la información acepta expresamente mantener la información divulgada en confidencialidad ( por ejemplo , si celebra un acuerdo de confidencialidad con el emisor), [9] entonces no se requerirá la divulgación pública de esa información compartida de forma privada según el Reglamento FD.
Si bien algunas empresas pueden mostrarse reticentes a compartir en forma privada información sobre un incidente de ciberseguridad importante, como se mencionó anteriormente, las normas de la Comisión en general no prohíben compartir dicha información. Las normas de divulgación selectiva del Reglamento FD se adoptaron hace más de 20 años. [10] Por lo tanto, las empresas que cotizan en bolsa y sus abogados deben estar bien versados en el manejo de esas normas y, si se respetan el alcance y los requisitos de esas normas, no deberían representar un impedimento indebido para el intercambio mutuamente beneficioso de información sobre incidentes de ciberseguridad importantes.
[*] Esta declaración se proporciona en la capacidad oficial del autor como Director de la División de Finanzas Corporativas de la Comisión, pero no necesariamente refleja las opiniones de la Comisión, los Comisionados u otros miembros del personal. Esta declaración no es una regla, reglamento o declaración de la Comisión. La Comisión no ha aprobado ni desaprobado su contenido. Esta declaración, como todas las declaraciones del personal, no tiene fuerza ni efecto legal: no altera ni enmienda la ley aplicable y no crea obligaciones nuevas o adicionales para ninguna persona.
[1] Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes, comunicados n.º 33-11216; 34-97989 (26 de julio de 2023) [88 FR 51896 (4 de agosto de 2023)] (“Adopción del comunicado”). He emitido dos declaraciones anteriores sobre estas normas, la primera de las cuales la emití en diciembre pasado, disponible en https://www.sec.gov/news/statement/gerding-cybersecurity-disclosure-20231214, y la segunda de las cuales la emití en mayo, disponible en https://www.sec.gov/news/statement/gerding-cybersecurity-incidents-05212024.
[2] Véase Adopting Release en 51906 (donde se señala que las empresas “deberían seguir compartiendo información con otras empresas o actores gubernamentales sobre amenazas emergentes… y una decisión de compartir información con otras empresas o actores gubernamentales no constituye necesariamente en sí misma una determinación de materialidad” y se afirma que una empresa “puede alertar a empresas en situaciones similares, así como a actores gubernamentales, inmediatamente después de descubrir un incidente y antes de determinar la materialidad, siempre y cuando no demore irrazonablemente sus procesos internos para determinar la materialidad”).
[3] Esas partes también pueden incluir agencias de seguridad nacional y de aplicación de la ley. Como señalé en mi declaración de diciembre, los requisitos del Punto 1.05 no impiden que un registrante consulte con el Departamento de Justicia, incluido el Buró Federal de Investigaciones (“FBI”), la Agencia de Seguridad de Infraestructura y Ciberseguridad (“CISA”), o cualquier otra agencia de seguridad nacional o de aplicación de la ley en cualquier momento con respecto al incidente, incluso antes de que se complete una evaluación de materialidad, y aliento a las empresas públicas a que trabajen con el FBI, la CISA y otras agencias de seguridad nacional y de aplicación de la ley lo antes posible después de que ocurran incidentes de ciberseguridad.
[4] 17 CFR Parte 243.
[5] Véase 17 CFR 243.100(a) y (b)(1).
[6] Véase 17 CFR 243.100(b)(1) (que enumera las personas a las que se aplica el Reglamento FD, incluidos corredores o distribuidores, asesores de inversiones, compañías de inversión y tenedores de valores del emisor, sujetos a ciertas exclusiones establecidas en el párrafo (b)(2)).
[7] Véase 17 CFR 243.100(b)(2) (que establece las exclusiones del requisito del Reglamento FD de divulgar públicamente cualquier información material no pública que haya sido divulgada selectivamente a las personas enumeradas en el párrafo (b)(1)).
[8] Véase 17 CFR 243.100(b)(2)(i).
[9] Véase 17 CFR 243.100(b)(2)(ii).
[10] Divulgación selectiva y uso de información privilegiada, comunicados de prensa núm. 33-7881; 34-43154; IC-24599 (15 de agosto de 2000) [65 FR 51715 (24 de agosto de 2000)].
Última revisión o actualización: 27 de junio de 2024
Publicado originalmente: https://www.xbrl.org/news/sec-clarifies-rules-on-selective-disclosure-of-cybersecurity-incidents/