La Comisión de Bolsa y Valores de EE. UU. (SEC) ha introducido nuevas reglas que obligan a las empresas públicas, especialmente a las tecnológicas, a revelar o informar violaciones de ciberseguridad en un plazo de cuatro días.
Las regulaciones también exigen la divulgación anual de información crítica sobre su gestión, estrategia y gobernanza de riesgos de ciberseguridad. Además, los emisores privados extranjeros están obligados a hacer divulgaciones similares.
La SEC ordena divulgaciones de ciberseguridad de las empresas tecnológicas
El presidente de la SEC, Gary Gensler, enfatizó la importancia de una divulgación consistente y comparable de la ciberseguridad, citando su impacto material en los inversores y las empresas.
Con las nuevas reglas en vigor, se espera que tanto los inversores como las empresas se beneficien de un proceso de divulgación más ágil y útil para la toma de decisiones, lo que en última instancia fomentará mercados más fuertes y seguros.
“Actualmente, muchas empresas públicas proporcionan información sobre ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para la toma de decisiones”, Gensler dijo en un comunicado.
“Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las normas actuales beneficiarán a los inversores, las empresas y los mercados que los conectan”.
El artículo 106 del Reglamento SK recientemente introducido obligará a los solicitantes de registro a describir sus procesos para evaluar, identificar y gestionar los riesgos materiales de ciberseguridad, incluidos los efectos de dichos riesgos y los incidentes de ciberseguridad anteriores.
También requerirá detalles sobre la supervisión de los riesgos de ciberseguridad por parte de la junta directiva y la experiencia de la administración en su manejo en el informe anual del registrante en el Formulario 10-K.
Los emisores privados extranjeros también estarán sujetos a requisitos de divulgación similares. Deben hacer divulgaciones comparables en el Formulario 6-K para incidentes importantes de ciberseguridad y el Formulario 20-F para gestión, estrategia y gobernanza de riesgos de ciberseguridad.
Reglas finales de la SEC
Las reglas finales entrarán en vigor 30 días después de su publicación en el Registro Federal. Las divulgaciones del Formulario 10-K y el Formulario 20-F deberán presentarse para los años fiscales que finalicen a partir del 15 de diciembre de 2023.
Las divulgaciones de los Formularios 8-K y 6-K vencerán 90 días después de la fecha de publicación en el Registro Federal o antes del 18 de diciembre de 2023, lo que ocurra más tarde.
A las empresas informantes más pequeñas se les concede un período ampliado de 180 días para presentar la divulgación del Formulario 8-K. Además, todos los registrantes deben cumplir con el requisito de etiquetar las divulgaciones necesarias en Inline XBRL un año después de su cumplimiento inicial con el requisito de divulgación relacionado.
Al implementar estas nuevas reglas, la SEC pretende mejorar la transparencia y garantizar que los incidentes de ciberseguridad se informen con prontitud, proporcionando a los inversores información crucial para tomar decisiones bien informadas.
Se espera que las medidas mejoren las prácticas de gestión de riesgos de ciberseguridad y subrayen la importancia de salvaguardar la información confidencial en el panorama digital cada vez más interconectado de hoy.
ⓒ 2023 . .
