0
0
A Comissão de Valores Mobiliários (SEC) adotou hoje regras que exigem que os registrantes divulguem incidentes materiais de segurança cibernética que vivenciam e divulguem anualmente informações relevantes sobre seu gerenciamento, estratégia e governança de riscos de segurança cibernética. A Comissão também adotou regras que exigem que os emissores privados estrangeiros façam divulgações comparáveis.
“Se uma empresa perde uma fábrica em um incêndio – ou milhões de arquivos em um incidente de segurança cibernética – pode ser importante para os investidores”, disse o presidente da SEC , Gary Gensler. “Atualmente, muitas empresas públicas fornecem divulgação de segurança cibernética aos investidores. Acho que empresas e investidores, no entanto, se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões. Ao ajudar a garantir que as empresas divulguem informações relevantes sobre segurança cibernética, as regras de hoje beneficiarão investidores, empresas e os mercados que as conectam”.
As novas regras exigirão que os registrantes divulguem no novo Item 1.05 do Formulário 8-K qualquer incidente de segurança cibernética que determinem ser material e descrevam os aspectos materiais da natureza, escopo e momento do incidente, bem como seu impacto material ou razoavelmente provável impacto material sobre o registrante.
Um Formulário 8-K do Item 1.05 geralmente vencerá quatro dias úteis após o registrante determinar que um incidente de segurança cibernética é relevante. A divulgação pode ser adiada se o procurador-geral dos Estados Unidos determinar que a divulgação imediata representaria um risco substancial à segurança nacional ou pública e notificar a Comissão de tal determinação por escrito.
As novas regras também adicionam o Regulamento SK Item 106, que exigirá que os registrantes descrevam seus processos, se houver, para avaliar, identificar e gerenciar riscos materiais de ameaças de segurança cibernética, bem como os efeitos materiais ou efeitos materiais razoavelmente prováveis de riscos de segurança cibernética ameaças e incidentes anteriores de cibersegurança.
O item 106 também exigirá que os registrantes descrevam a supervisão do conselho de administração dos riscos de ameaças de segurança cibernética e o papel e experiência da administração na avaliação e gerenciamento de riscos materiais de ameaças de segurança cibernética. Essas divulgações serão exigidas no relatório anual do registrante no Formulário 10-K.
As regras exigem divulgações comparáveis por emissores privados estrangeiros no Formulário 6-K para incidentes relevantes de segurança cibernética e no Formulário 20-F para gerenciamento, estratégia e governança de riscos de segurança cibernética.
As regras finais entrarão em vigor 30 dias após a publicação da versão de adoção no Registro Federal. As divulgações dos Formulários 10-K e 20-F serão devidas a partir dos relatórios anuais para os anos fiscais encerrados em ou após 15 de dezembro de 2023. As divulgações dos Formulários 8-K e 6-K serão devidas a partir dos 90 dias seguintes após a data de publicação no Federal Register ou 18 de dezembro de 2023.
As empresas de relatórios menores terão 180 dias adicionais antes de começarem a fornecer a divulgação do Formulário 8-K. Com relação à conformidade com os requisitos de dados estruturados, todos os registrantes devem marcar as divulgações exigidas pelas regras finais do Inline XBRL a partir de um ano após a conformidade inicial com o requisito de divulgação relacionado.
FONTE: HELP NET SECURITY