As empresas públicas agora terão que divulgar incidentes de segurança cibernética mais cedo, graças a uma regra adotada pela Comissão de Valores Mobiliários. De acordo com a nova política , a SEC exigirá que as empresas públicas relatem violações de dados e hacks quatro dias úteis após serem descobertos.
As empresas terão que divulgar quaisquer incidentes de segurança cibernética em um formulário 8-K. Esses documentos publicamente disponíveis normalmente informam os acionistas sobre as principais mudanças na empresa – e agora incluirão um novo Item 1.05 para incidentes de segurança cibernética. A divulgação deve incluir informações sobre “natureza, escopo e tempo”, bem como “seu impacto material ou razoavelmente provável” na empresa.
Há uma exceção ao requisito de divulgação de quatro dias, no entanto. A SEC diz que a divulgação pode ser adiada se o procurador-geral dos EUA determinar que alertar os acionistas sobre o incidente “representaria um risco substancial à segurança nacional ou pública”.
Além disso, a SEC criou um novo Regulamento SK Item 106 que será incluído no formulário anual 10-K de uma empresa. Isso exigirá que as empresas descrevam seu processo “para avaliar, identificar e gerenciar riscos materiais de ameaças à segurança cibernética”. As empresas também devem divulgar a capacidade de sua administração de avaliar e gerenciar riscos materiais de ataques cibernéticos.
“Se uma empresa perde uma fábrica em um incêndio – ou milhões de arquivos em um incidente de segurança cibernética – pode ser importante para os investidores”, disse o presidente da SEC, Gary Gensler, em comunicado . “Atualmente, muitas empresas públicas fornecem divulgação de segurança cibernética aos investidores. Acho que empresas e investidores, no entanto, se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões”.
Nos últimos meses, várias empresas foram vítimas de ataques cibernéticos, incluindo Roblox , T-Mobile e Google . Centenas de empresas também foram afetadas por um ataque cibernético na ferramenta de transferência de arquivos MOVEit, e esse número continua a crescer à medida que mais empresas se apresentam.
A SEC começará a exigir que as empresas públicas divulguem violações de dados a partir de 90 dias após a data de publicação no Federal Register ou 18 de dezembro de 2023 – o que ocorrer depois. Enquanto isso, as empresas terão que incluir seus protocolos de segurança cibernética nos registros do Formulário 10-K a partir do ano fiscal que termina em ou após 15 de dezembro de 2023.
Esperançosamente, isso significa que em breve poderemos saber quando nossos dados estão comprometidos muito mais rápido.
FONTE: THE VERGE