La Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés) ha propuesto reglas nuevas e importantes sobre gestión de riesgos de ciberseguridad, estrategia, gobierno e informes de incidentes por parte de empresas públicas. Como observó el presidente Gary Gensler en su declaración, “a lo largo de los años, nuestro régimen de divulgación ha evolucionado para reflejar la evolución de los riesgos y las necesidades de los inversores. Hoy en día, la ciberseguridad es un riesgo emergente con el que los emisores públicos deben lidiar cada vez más”, y los inversores quieren saber más sobre cómo se gestiona esto.
Si bien muchas empresas ya brindan divulgaciones de seguridad cibernética, la SEC busca garantizar que esta información sea consistente, comparable y útil para la toma de decisiones. Esencial para lograr esos objetivos es el requisito de que las divulgaciones se realicen en XBRL, lo que también garantizará que estos datos también se puedan analizar junto con la amplia gama de otra información reportada a la SEC en XBRL.
La propuesta tiene dos elementos clave: “Primero, requeriría divulgaciones obligatorias y continuas sobre el gobierno, la gestión de riesgos y la estrategia de las empresas con respecto a los riesgos de seguridad cibernética. Esto permitiría a los inversores evaluar estos riesgos de manera más efectiva”, explica Gensler.
“En segundo lugar, requeriría un informe obligatorio y material de incidentes de ciberseguridad. Esto es fundamental porque tales incidentes materiales de ciberseguridad podrían afectar la toma de decisiones de los inversores”. La propuesta establece cuándo y qué información sobre incidentes de seguridad cibernética deben divulgar las empresas en un informe actual, como en el Formulario 8-K. También requeriría actualizaciones en informes periódicos para brindar a los inversores información más completa sobre incidentes de ciberseguridad materiales previamente divulgados.
La propuesta estará abierta para comentarios públicos durante 60 días después de su publicación en el sitio web de la SEC, o 30 días después de su publicación en el Registro Federal, lo que termine más tarde. Y no está sufriendo un déjà vu: la SEC también emitió recientemente reglas propuestas sobre seguridad cibernética para asesores de inversiones y fondos registrados, que incluyen divulgaciones en Inline XBRL y aún no se han comentado.
La SEC propone reglas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas
La Comisión de Bolsa y Valores propuso hoy enmiendas a sus reglas para mejorar y estandarizar las divulgaciones sobre la gestión de riesgos de seguridad cibernética, la estrategia, la gobernanza y los informes de incidentes por parte de las empresas públicas.
«A lo largo de los años, nuestro régimen de divulgación ha evolucionado para reflejar la evolución de los riesgos y las necesidades de los inversores», dijo el presidente de la SEC, Gary Gensler. «Hoy en día, la seguridad cibernética es un riesgo emergente con el que los emisores públicos deben lidiar cada vez más. Los inversores quieren saber más sobre cómo los emisores están gestionando esos riesgos crecientes. Muchos emisores ya brindan información sobre seguridad cibernética a los inversores. Creo que tanto las empresas como los inversores se beneficiarían si esta información se requirió de manera consistente, comparable y útil para la toma de decisiones. Me complace apoyar esta propuesta porque, si se adopta, fortalecería la capacidad de los inversionistas para evaluar las prácticas de seguridad cibernética de las empresas públicas y el informe de incidentes».
Las enmiendas propuestas requerirían, entre otras cosas, informes actuales sobre incidentes de seguridad cibernética materiales e informes periódicos para proporcionar actualizaciones sobre incidentes de seguridad cibernética informados anteriormente. La propuesta también requeriría informes periódicos sobre las políticas y procedimientos de un registrante para identificar y gestionar los riesgos de seguridad cibernética; la supervisión del riesgo de ciberseguridad por parte de la junta directiva del registrante; y el papel y la experiencia de la gerencia en la evaluación y gestión del riesgo de seguridad cibernética y la implementación de políticas y procedimientos de seguridad cibernética. Además, la propuesta requeriría informes anuales o cierta divulgación de representación sobre la experiencia en seguridad cibernética de la junta directiva, si corresponde.
Las enmiendas propuestas están destinadas a informar mejor a los inversionistas sobre la gestión de riesgos, la estrategia y la gobernanza de una entidad registrada y para proporcionar una notificación oportuna a los inversionistas sobre incidentes de seguridad cibernética importantes.
El lanzamiento propuesto se publicará en SEC.gov y en el Registro Federal. El período de comentarios permanecerá abierto durante los 60 días posteriores a la publicación del comunicado propuesto en el sitio web de la SEC o los 30 días posteriores a la publicación del comunicado propuesto en el Registro Federal, el período que sea mayor.
Declaración sobre la propuesta de divulgaciones obligatorias de seguridad cibernética
Hoy, la Comisión está considerando una propuesta para exigir divulgaciones de seguridad cibernética por parte de las empresas públicas. Me complace apoyar esta propuesta porque, si se adopta, fortalecería la capacidad de los inversionistas para evaluar las prácticas de seguridad cibernética de las empresas públicas y la notificación de incidentes.
Hemos estado exigiendo la divulgación de información importante de las empresas desde la Gran Depresión. El trato básico es este: los inversores pueden decidir qué riesgos desean tomar. Las empresas que están recaudando dinero del público tienen la obligación de compartir información con los inversores de forma regular.
A lo largo de los años, nuestro régimen de divulgación ha evolucionado para reflejar la evolución de los riesgos y las necesidades de los inversores.
Hoy en día, la ciberseguridad es un riesgo emergente con el que los emisores públicos deben lidiar cada vez más. La interconexión de nuestras redes, el uso de análisis de datos predictivos y el deseo insaciable de datos solo se están acelerando, poniendo en riesgo nuestras cuentas financieras, inversiones e información privada. Los inversores quieren saber más sobre cómo los emisores están gestionando esos riesgos crecientes.
Los incidentes de ciberseguridad, lamentablemente, suceden mucho. Pueden tener impactos financieros, operativos, legales y reputacionales significativos en los emisores públicos. Por lo tanto, los inversores buscan cada vez más información sobre los riesgos de ciberseguridad, que pueden afectar sus decisiones de inversión y rendimientos.
Muchos emisores ya brindan información sobre seguridad cibernética a los inversores. Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera consistente, comparable y útil para la toma de decisiones.
El lanzamiento de hoy mejoraría las divulgaciones de seguridad cibernética de los emisores de dos maneras clave:
En primer lugar, requeriría divulgaciones obligatorias y continuas sobre la gobernanza, la gestión de riesgos y la estrategia de las empresas con respecto a los riesgos de ciberseguridad. Esto permitiría a los inversores evaluar estos riesgos con mayor eficacia. Por ejemplo, según las reglas propuestas, las empresas divulgarían información como:
- el rol de la gerencia y la junta y la supervisión de los riesgos de seguridad cibernética;
- si las empresas cuentan con políticas y procedimientos de ciberseguridad; y
- cómo es probable que los riesgos e incidentes de ciberseguridad afecten las finanzas de la empresa.
En segundo lugar, requeriría informes de incidentes de ciberseguridad materiales obligatorios. Esto es fundamental porque tales incidentes materiales de ciberseguridad podrían afectar la toma de decisiones de los inversores.
Cuando las empresas tienen la obligación de divulgar información importante a los inversores, deben ser completas y precisas. Sus revelaciones también deben ser oportunas. La propuesta de hoy especificaría cuándo y qué información sobre incidentes de seguridad cibernética deben divulgar las empresas en un informe actual, como en el Formulario 8-K. También requeriría actualizaciones en informes periódicos para brindar a los inversores información más completa sobre incidentes de ciberseguridad materiales previamente divulgados.
Este es el tercer proyecto de reglamentación que hemos propuesto que implica ciberseguridad. A principios de este invierno, la Comisión votó para proponer la expansión del Cumplimiento e integridad de los sistemas de regulación (SCI) a ciertas plataformas de negociación de valores gubernamentales. En febrero, votamos para proponer nuevas obligaciones para los asesores de inversiones registrados y los fondos con respecto a la ciberseguridad.
En el futuro, también le pedí al personal que hiciera recomendaciones adicionales para la consideración de la Comisión con respecto a los corredores de bolsa, el Reglamento SCI y los requisitos de los intermediarios con respecto a los avisos a los clientes (Reglamento SP).
Me complace apoyar la propuesta de hoy y, sujeto a la aprobación de la Comisión, espero los comentarios del público. Me gustaría agradecer a los miembros del personal de la SEC que trabajaron en esta regla, incluidos:
- Renee Jones, Erik Gerding, Betsy Murphy, Luna Bloom, Ian Greber-Raines, Charles Kwon, Michael Seaman, Lindsay McCord, Deanna Virginio, Michael Coco, Matt McNair, Shelly Luisi, Catherine Brown, Kim McManus, Rolaine Bancroft, Katherine Hsu, Arthur Sandel, Chris Windsor, Rushabh Soni y Sam Serfaty en la División de Finanzas Corporativas;
- Brian Johnson, David Joire, Amanda Wagner, Christopher Staley y Rachel Kuo en la División de Gestión de Inversiones;
- Dan Berkovitz, Megan Barbero, Bryant Morris, Dorothy McCuaig, David Lisitza y Joseph Valerio en la Oficina del Asesor Jurídico;
- Jessica Wachter, Oliver Richard, Vlad Ivanov, Lauren Moore, Charles Woodworth, Qiao Kapadia, Connor Hurley, Mike Willis, Julie Marlowe, PJ Hamidi, Gregory Scopino, Hamilton Martin, Mariesa Ho, Xanthi Gkougkousi, Sejal Naik, Michael Pessin, Lakin Brown , Justin Myalil, Syed Husain, Nicholas Acosta, Benjamin Stoner, Reevu Adakroy, Gideon Brown, Ian Black, Justin Soll y Wanli Zhao en la División de Análisis Económico y de Riesgos;
- Shaz Niazi en la Oficina del Contador Jefe;
- Ted Shelkey en la Oficina de Tecnología de la Información;
- Arsen Ablaev en la División de Cumplimiento;
- Laurita Finch, Rosemary Filou en la Oficina Comercial de EDGAR; y
- Dan DeWaal y Nancy Sumption en la División de Exámenes.
También me gustaría agradecer al Departamento de Justicia, la Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad por sus valiosos aportes mientras desarrollamos esta propuesta.
Qué significa para usted la propuesta de ciberseguridad de la SEC
Sin duda, los incidentes pueden ser costosos para ellos y para usted si un pirata informático puede interrumpir las operaciones diarias, cobrar un rescate considerable o robar propiedad intelectual valiosa o incluso datos de clientes, sin mencionar que daña su reputación corporativa como estás luchando para contener el daño.
Echemos un vistazo a lo que ha propuesto la SEC, además de los pasos para minimizar el riesgo al trabajar con contratistas y proveedores.
Qué hay en la propuesta de ciberseguridad de la SEC
- Una presentación 8-K dentro de los días de incidentes de seguridad cibernética importantes, además de actualizaciones sobre esos incidentes
- Divulgaciones periódicas sobre políticas y procedimientos para identificar y gestionar los riesgos de ciberseguridad y el papel de la gerencia en su implementación.
- Información sobre la experiencia en ciberseguridad de los miembros del consejo de administración
- Divulgaciones en Inline XBRL TM ( iXBRL TM )
Específicamente, la SEC quiere que el 8-K incluya una breve descripción de un incidente de seguridad cibernética y cuándo se descubrió y si está en curso; efectos sobre los datos y las operaciones de una empresa; y lo que la empresa está haciendo al respecto. Para los emisores privados extranjeros, los incidentes de ciberseguridad se agregarían como temas que deben informarse en un 6-K.
Podríamos debatir si esas revelaciones podrían dar a los delincuentes municiones para futuros ataques o impedir que las fuerzas del orden recuperen los fondos robados antes de que los delincuentes se den cuenta de que las autoridades los están siguiendo. Pero la conclusión es que los incidentes de seguridad cibernética podrían ocurrirle a cualquier empresa, y los inversores quieren ver qué tan resistente eres si te sucede uno.
“Desafortunadamente, los incidentes de seguridad cibernética ocurren mucho”, dijo el presidente de la SEC, Gary Gensler, al anunciar la propuesta de la SEC. “Pueden tener impactos financieros, operativos, legales y reputacionales significativos en los emisores públicos. Por lo tanto, los inversores buscan cada vez más información sobre los riesgos de ciberseguridad, que pueden afectar sus decisiones de inversión y rendimientos.
“Muchos emisores ya brindan información sobre seguridad cibernética a los inversores. Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera consistente, comparable y útil para la toma de decisiones”, dijo.
Esté preparado para el mandato de ciberseguridad
La SEC está aceptando comentarios sobre su propuesta, por lo que aún no es definitiva. Es posible que las empresas tengan que divulgar hacks significativos que involucren no solo la tecnología que poseen, sino también los sistemas que utilizan, incluidos los de proveedores externos.
Para prepararse para un mandato final, creo que las organizaciones querrían:
- Considere implementar múltiples capas de protecciones de seguridad, incluidas metodologías de autorización de múltiples factores
- Reevaluar sus medidas de detección de brechas de seguridad para que estén al tanto de una brecha de inmediato.
- Integrar la ciberseguridad en el factor «G» de ESG
- Examine los controles de seguridad cibernética y el servicio al cliente de sus proveedores, para que las organizaciones puedan asegurarse de que se mantendrán informados si sus proveedores tienen un incidente de seguridad.
Reducir el riesgo al trabajar con proveedores de archivos de la SEC
Mientras tanto, manténgase atento a las amenazas de seguridad dentro de su empresa, así como a sus contratistas, socios o proveedores.
Por ejemplo, al considerar el software, busque un proveedor de servicios en la nube nativo que cree su propio software y plataforma en lugar de un proveedor de servicios tradicional con servicios digitales incorporados.
Verifique que su proveedor cumpla o supere los estándares de los proveedores de servicios en la nube y emplee múltiples capas de protección.
También examine si el software o la plataforma de su proveedor tiene controles incorporados, de modo que si los piratas informáticos ingresan a través de credenciales de inicio de sesión comprometidas, la información a la que pueden acceder será limitada.
Si bien nadie es inmune a una brecha de seguridad, asegúrese de que sus proveedores estén haciendo todo lo posible para protegerlo.
Inline XBRL TM e iXBRL TM son marcas comerciales de XBRL International, Inc. Todos los derechos reservados. Los estándares XBRL ® son abiertos y se licencian libremente mediante el Acuerdo de Licencia Internacional XBRL
SOBRE EL AUTOR
Steve Soter
Director sénior de marketing de productos
Steve es director sénior de marketing de productos y director de la industria de contabilidad en Workiva. Anteriormente, Steve se desempeñó como líder de contabilidad en múltiples roles, incluido el de vicepresidente y controlador de Backcountry.com, un minorista en línea de propiedad de capital privado de productos para exteriores, y como director de informes de la SEC para Overstock.com (NASDAQ: OSTK), un $ 2 mil millones de ingresos, minorista en línea de artículos para el hogar y empresa de tecnología blockchain. Su experiencia incluye múltiples adquisiciones, ofertas de deuda, una oferta pública inicial y la primera oferta digital de deuda y acciones del mundo (por Overstock). Steve es el asesor ejecutivo del SEC Professionals Group y ex miembro del Comité de calidad de datos XBRL de EE. UU. Inició su carrera como auditor en contaduría pública, recibió su título de Contador en la Universidad de Arizona, graduándose summa cum laude,
La SEC propone nuevas reglas para los informes de seguridad cibernética
Jeff dibujó
9 de marzo de 2022
La SEC está proponiendo enmiendas a sus reglas que mejorarían y estandarizarían las divulgaciones públicas de las empresas con respecto a la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes.
En una regla titulada «Gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes», la SEC exigiría lo siguiente a las empresas públicas sujetas a los requisitos de información de la Ley de Bolsa de Valores de 1934:
Informes actuales sobre incidentes materiales de ciberseguridad en el Formulario 8-K
Para adaptarse a esto, la SEC propone:
- Modificar el Formulario 8-K para exigir a los registrantes que divulguen información sobre un incidente de seguridad cibernética material dentro de los cuatro días hábiles posteriores a que el registrante determine que ha experimentado un incidente de seguridad cibernética material;
- Agregar el nuevo Ítem 106(d) de la Regulación SK y el Ítem 16J(d) del Formulario 20-F para exigir a las entidades registradas que proporcionen una divulgación actualizada relacionada con incidentes de seguridad cibernética previamente divulgados y para exigir la divulgación, en la medida en que la gerencia lo sepa, cuando una serie de los incidentes de seguridad cibernética individualmente inmateriales no revelados anteriormente se han convertido en materiales en conjunto; y
- Modifique el Formulario 6-K para agregar «incidentes de seguridad cibernética» como un tema de informe.
Divulgaciones periódicas relacionadas con la gestión de riesgos, la estrategia y la gobernanza
La regla propuesta busca proporcionar más información relacionada con lo siguiente:
- Las políticas y procedimientos de un registrante para identificar y gestionar los riesgos de seguridad cibernética;
- el papel de la gerencia en la implementación de políticas y procedimientos de seguridad cibernética;
- La experiencia en seguridad cibernética de la junta directiva, si la hay, y su supervisión del riesgo de seguridad cibernética; y
- Actualizaciones sobre incidentes materiales de ciberseguridad informados anteriormente.
Específicamente, la propuesta:
● Agregar el Ítem 106 a la Regulación SK y el Ítem 16J del Formulario 20-F para requerir que la entidad registrada (1) describa sus políticas y procedimientos, si los hubiere, para la identificación y gestión de riesgos de amenazas a la seguridad cibernética, incluso si la entidad registrada considera la seguridad cibernética como parte de su estrategia comercial, planificación financiera y asignación de capital; y (2) exigir la divulgación sobre la supervisión de la junta del riesgo de seguridad cibernética y el rol y la experiencia de la gerencia en la evaluación y gestión del riesgo de seguridad cibernética y la implementación de las políticas, procedimientos y estrategias de seguridad cibernética de la entidad registrada.
● Modificar el Artículo 407 del Reglamento SK y el Formulario 20-F para exigir la divulgación de la experiencia en seguridad cibernética de los miembros de la junta. El artículo 407(j) propuesto requeriría la divulgación en los informes anuales y ciertas presentaciones de poderes si algún miembro de la junta directiva de la entidad registrada tiene experiencia en seguridad cibernética, incluidos los nombres de dichos directores y cualquier detalle necesario para describir completamente la naturaleza de la experiencia.
La propuesta también requeriría que las divulgaciones de ciberseguridad se presenten en Inline eXtensible Business Reporting Language (Inline XBRL).
El presidente de la SEC, Gary Gensler, dijo en un comunicado de prensa que las enmiendas a las reglas propuestas mejorarían la capacidad de los inversores para evaluar las prácticas de seguridad cibernética y los informes de incidentes de las empresas públicas.
“Hoy, la seguridad cibernética es un riesgo emergente con el que los emisores públicos deben lidiar cada vez más”, dijo. «Los inversores quieren saber más sobre cómo los emisores gestionan esos riesgos crecientes. Muchos emisores ya brindan información sobre seguridad cibernética a los inversores. Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera coherente, comparable y útil para la toma de decisiones. .»
No todos los comisionados de la SEC están de acuerdo con las enmiendas a las reglas propuestas.
«La comisión regula las divulgaciones de las empresas públicas; no regula las actividades de las empresas públicas», dijo. «Sin embargo, esta propuesta coquetea con presentarnos como el centro de comando de seguridad cibernética de la nación, un papel que el Congreso no nos dio».