A Securities and Exchange Commission (SEC), a agência reguladora que exerce controle sobre o mercado de capitais nos Estados Unidos, recentemente adotou novas regulamentações que estabelecem requisitos mais rígidos para a divulgação de incidentes cibernéticos por empresas de capital aberto.
Essas regras visam melhorar a transparência e a responsabilidade no que se refere à segurança cibernética, reconhecendo a crescente importância das ameaças cibernéticas no ambiente empresarial.
Um dos principais aspectos das novas regulamentações é a obrigatoriedade de que as empresas de capital aberto relatem incidentes cibernéticos em até quatro dias úteis após determinarem que esses incidentes têm relevância significativa.
Essa é uma mudança significativa na forma como as empresas lidam com a divulgação de incidentes cibernéticos, pois impõe um prazo específico para que as empresas comuniquem esses eventos.
A ideia por trás desse requisito é permitir que os acionistas e investidores tenham acesso a informações críticas em tempo hábil, de modo a tomar decisões de investimento informadas.
A SEC define incidentes significativos como aqueles que os acionistas de uma empresa de capital aberto considerariam relevantes ao tomar decisões de investimento.
Essa definição é fundamental, pois destaca a importância de relatar incidentes que possam ter um impacto substancial na avaliação de uma empresa. Incidentes cibernéticos podem variar desde violações de segurança que resultam na perda de dados confidenciais até interrupções críticas nos sistemas de uma empresa que podem afetar sua operação e reputação.
O presidente da SEC, Gary Gensler, destacou neste ano a importância dessas regras, comparando incidentes cibernéticos a outras perdas significativas que afetam as empresas, como incêndios em fábricas.
Ele explicou que, da mesma forma que os investidores considerariam importante saber se uma empresa perdeu uma fábrica em um incêndio, também é relevante informar se uma empresa foi vítima de um incidente de segurança cibernética que resultou na exposição de milhões de arquivos. Essa comparação ajuda a destacar a seriedade com que a SEC encara os incidentes cibernéticos e a necessidade de informar adequadamente os investidores.
A quem a SEC se aplica?
As novas regras se estendem para além das fronteiras dos Estados Unidos, uma vez que a SEC exige que emissores privados estrangeiros também forneçam divulgações equivalentes após violações de segurança cibernética. Isso garante que todas as empresas que têm ações registradas na SEC estejam sujeitas às mesmas regras e padrões, independente de sua origem ou localização geográfica.
O que deve ser feito?
As empresas agora têm a obrigação de incorporar informações detalhadas sobre ataques cibernéticos em seus relatórios periódicos. Essas informações devem incluir detalhes sobre a natureza do ataque, a extensão do incidente e o momento em que ocorreu.
Esses detalhes são essenciais para permitir que os acionistas e investidores compreendam plenamente o impacto do incidente e avaliem sua importância na tomada de decisões de investimento.
Esses relatórios sobre segurança cibernética devem ser apresentados nos formulários 8-K, que são documentos regulatórios usados para comunicar informações importantes ao mercado.
As novas regras de divulgação de incidentes de segurança cibernética devem entrar em vigor em dezembro ou 30 dias após sua publicação no Federal Register, oferecendo às empresas um prazo definido para se adaptarem às novas regulamentações.
No entanto, é importante observar que as empresas de menor porte terão um período adicional de 180 dias antes de serem obrigadas a fornecer as divulgações no Formulário 8-K.
Essa disposição reconhece que empresas menores podem enfrentar desafios diferentes em termos de recursos e capacidades para cumprir os novos requisitos. Portanto, elas terão mais tempo para se preparar e se ajustar às novas regulamentações.
Em certos casos, o prazo para divulgação de incidentes cibernéticos também pode ser adiado se o Procurador-Geral dos Estados Unidos determinar que uma divulgação imediata representaria um risco significativo para a segurança nacional ou pública.
Isso demonstra uma abordagem equilibrada que leva em consideração a complexidade de situações em que questões de segurança nacional estão envolvidas, ao mesmo tempo em que assegura a divulgação oportuna de informações cruciais para o mercado.
A aplicação rigorosa das novas regras de divulgação de segurança cibernética é crucial para garantir a conformidade das empresas. A SEC demonstrou seu compromisso com a aplicação dessas regras, aplicando multas substanciais a empresas que não divulgaram violações de segurança cibernética de maneira adequada ou dentro do prazo estabelecido.
Essas ações de fiscalização servem como um lembrete claro de que o não cumprimento das regulamentações terá consequências financeiras significativas.
Data de vigência
As datas de vigência das novas regras são fundamentais para a implementação bem-sucedida das regulamentações. Os requisitos de divulgação de incidentes relevantes entrarão em vigor a partir de 18 de dezembro de 2023, com um adiamento de 180 dias para empresas menores.
Além disso, as divulgações relacionadas à gestão de risco, estratégia e governança são aplicáveis a todas as entidades registradas na SEC para os exercícios fiscais encerrados em 15 de dezembro de 2023 ou após essa data.
O anúncio dessas novas regras segue os planos de adoção divulgados pela SEC há mais de um ano, em março de 2022. Isso reflete um processo de planejamento cuidadoso e consultas com partes interessadas para garantir que as empresas tenham tempo adequado para se adaptar às mudanças.