A Comissão de Valores Mobiliários dos EUA adotou novas regras exigindo que empresas de capital aberto divulguem ataques cibernéticos até quatro dias úteis após determinarem que são incidentes significativos.
Segundo o órgão de fiscalização de Wall Street, incidentes significativos são aqueles que os acionistas de uma empresa pública considerariam importantes "na tomada de uma decisão de investimento".
A SEC também adotou novas regulamentações exigindo que emissores privados estrangeiros forneçam divulgações equivalentes após violações de segurança cibernética.
"Se uma empresa perde uma fábrica em um incêndio — ou milhões de arquivos em um incidente de segurança cibernética — pode ser relevante para os investidores.
Atualmente, muitas empresas de capital aberto fornecem divulgação de segurança cibernética para investidores," disse hoje o presidente da SEC, Gary Gensler.
"Acredito que as empresas e os investidores se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para a tomada de decisões.
Ao ajudar a garantir que as empresas divulguem informações significativas de segurança cibernética, as regras de hoje beneficiarão investidores, empresas e os mercados que os conectam."
As empresas listadas devem agora incluir detalhes sobre o ataque cibernético (incluindo a natureza, o escopo e o momento do incidente) em relatórios periódicos, especificamente em formulários 8-K.
Essas novas regras de relatório de incidentes de segurança cibernética entrarão em vigor em dezembro ou 30 dias após serem publicadas no Federal Register.
No entanto, empresas menores receberão um prazo adicional de 180 dias antes de serem obrigadas a fornecer divulgações do Formulário 8-K.
Em alguns casos, o cronograma de divulgação também pode ser adiado se o Procurador-Geral dos EUA determinar que uma divulgação imediata representaria um risco significativo à segurança nacional ou à segurança pública.
O anúncio de hoje segue os planos de adotar essas novas regras reveladas pela SEC há mais de um ano, em março de 2022.
As novas regras (PDF) fornecem aos investidores notificações rápidas sobre incidentes de segurança que impactam empresas listadas, melhorando seu entendimento do gerenciamento de risco cibernético e estratégia.
Elas exigem a divulgação das seguintes informações relacionadas à violação (desde que estejam disponíveis no momento da apresentação do Formulário 8-K): No entanto, não se espera que as empresas afetadas divulguem especificações técnicas de seus planos de resposta a incidentes ou detalhes sobre possíveis vulnerabilidades que possam influenciar suas ações de resposta ou remediação.
De acordo com Lesley Ritter, vice-presidente sênior do Moody's Investors Service, as novas regras aumentarão a transparência, mas provavelmente serão um desafio para empresas menores.
"As regras de divulgação de segurança cibernética adotadas pela Comissão de Valores Mobiliários dos EUA hoje proporcionarão mais transparência a um risco de outra forma opaco, mas crescente, bem como mais consistência e previsibilidade", disse Ritter ao BleepingComputer.
"A maior divulgação deve ajudar as empresas a comparar práticas e pode estimular melhorias nas defesas cibernéticas, mas atender aos novos padrões de divulgação pode ser um desafio maior para empresas menores com recursos limitados."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...