centrocyberLa SEC ha adoptado nuevas normas sobre divulgación de incidentes de ciberseguridad y gestión de riesgos por parte de las empresas que cotizan en bolsa. La sentencia es un paso en la dirección de la rendición de cuentas y la protección de los inversores y los consumidores, ya que requiere que las organizaciones mejoren la forma en que descubren vulnerabilidades y brechas, sus mecanismos de información y el nivel de experiencia en ciberseguridad en la junta.

Estas nuevas normas son:

  • Las empresas estarán obligadas a comunicar los incidentes de ciberseguridad importantes que experimenten y a proporcionar información anual sobre su gestión, estrategia y gobernanza de los riesgos de ciberseguridad.
  • Las nuevas normas introducen un nuevo formulario 8-K (punto 1.05) para que los solicitantes de registro informen sobre incidentes importantes de ciberseguridad y su impacto. Por lo general, esta divulgación debe realizarse cuatro días hábiles después de que se determine que el incidente es material.
  • La divulgación de los incidentes de ciberseguridad puede retrasarse si la divulgación inmediata plantea un riesgo sustancial para la seguridad nacional o la seguridad pública, previa aprobación del Fiscal General de los Estados Unidos.
  • Un nuevo artículo 106 del Reglamento S-K exigirá a los registrantes que describan sus procesos para identificar y gestionar los riesgos materiales de las amenazas de ciberseguridad, la supervisión de estos riesgos por parte del consejo y la experiencia de la dirección en la evaluación y gestión de estos. Esta divulgación será obligatoria en el informe anual de un registrante en el Formulario 10-K.
  • Las normas definitivas entrarán en vigor 30 días después de su publicación en el Registro Federal. Los formularios 10-K y 20-F deberán publicarse a partir de los ejercicios fiscales que finalicen el 15 de diciembre de 2023. Los formularios 8-K y 6-K deberán publicarse a partir de 90 días después de su publicación o del 18 de diciembre de 2023, si esta última fecha fuera posterior. Las empresas declarantes más pequeñas dispondrán de 180 días adicionales para presentar la información del formulario 8-K.