0
0
A Comissão de Valores Mobiliários (SEC) adotou uma regra “exigindo que os registrantes divulguem incidentes materiais de segurança cibernética que vivenciam e divulguem anualmente informações relevantes sobre sua gestão, estratégia e governança de riscos de segurança cibernética”, de acordo com um comunicado da SEC divulgado hoje .
“Se uma empresa perde uma fábrica em um incêndio – ou milhões de arquivos em um incidente de segurança cibernética – pode ser importante para os investidores”, disse o presidente da SEC, Gary Gensler. “Atualmente, muitas empresas de capital aberto fornecem divulgação de segurança cibernética aos investidores. No entanto, acho que empresas e investidores se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões. Ao ajudar a garantir que as empresas divulguem informações relevantes sobre segurança cibernética informações, as regras de hoje beneficiarão investidores, empresas e os mercados que os conectam.”
A própria regra observou que “a falta de divulgação em relação à segurança cibernética persiste, apesar da orientação anterior da Comissão; os investidores precisam de divulgação de segurança cibernética mais oportuna e consistente para tomar decisões de investimento informadas; e desenvolvimentos legislativos e regulatórios recentes em outras partes do governo federal, incluindo os desenvolvimentos subsequentes à a emissão do Proposing Release, como CIRCIA e Quantum Computing Cybersecurity Preparedness Act , embora sirva a propósitos relacionados, não efetuará o nível de divulgação pública de segurança cibernética necessária para investidores em empresas públicas.”
A nova regra exige que um Formulário 8-K seja preenchido dentro de “quatro dias úteis após a determinação de que um incidente foi material”. No entanto, a SEC, semelhante ao Regulamento Geral de Proteção de Dados e às regras de divulgação de violação de dados do estado dos EUA, não esclarece o que constitui uma empresa fazendo essa determinação sobre um incidente ser material e, portanto, quando o relógio começa.
Quanto ao que torna um incidente material, a SEC está definindo-o de maneira ligeiramente diferente do que em outros assuntos. Tradicionalmente, material significava qualquer coisa significativa o suficiente para provavelmente mover o preço das ações – portanto, uma aquisição de $ 20 milhões pode ser material para uma empresa menor, mas não para uma muito maior. Na regra de segurança cibernética de 26 de julho, a SEC adotou uma postura um pouco mais agressiva, observando que a informação é relevante se for algo que o investidor gostaria de saber.
“A informação é material se houver uma probabilidade substancial de que um acionista razoável a considere importante ao tomar uma decisão de investimento, ou se tiver alterado significativamente a ‘combinação total’ de informações disponibilizadas. Dúvidas quanto à natureza crítica do relevante informação deve ser resolvida a favor daqueles que o estatuto visa proteger, nomeadamente os investidores.”
A SEC também excluiu alguns detalhes específicos.
“Este requisito não se estende a informações técnicas específicas sobre a resposta planejada do registrante ao incidente ou seus sistemas de segurança cibernética, redes e dispositivos relacionados ou vulnerabilidades potenciais do sistema em detalhes que impeçam a resposta do registrante ou a correção do incidente”.
FONTE: DARKREADING