Os negócios públicos terão que informar incidentes de segurança cibernética mais rapidamente, graças a uma nova norma introduzida pela Comissão de Valores Mobiliários e Valores Mobiliários. A SEC necessitará que as empresas públicas declarem violações de dados e invasões quatro dias úteis depois de detectadas.
As companhias terão que anunciar qualquer incidente relacionado à segurança cibernética em um relatório 8-K, documento público que informa os acionistas sobre as alterações significativas na empresa. Agora, a divulgação deve incluir a seção 1.05, que detalha o incidente de segurança, incluindo a natureza, extensão e momento em que ocorreu, além de seu impacto potencialmente significativo na empresa.
Contudo, existe uma exceção ao critério de divulgação em quatro dias. A SEC declara que o aviso aos acionistas sobre o incidente pode ser adiado se o Procurador-Geral dos Estados Unidos julgar que alertá-los seria um grande risco à segurança nacional ou à segurança pública.
Além disso, a SEC estabeleceu o Regulamento S-K Item 106, que será inserido no formulário anual 10K da organização. Isso necessita que as companhias expliquem o seu método “para avaliar, identificar e controlar riscos materiais de ameaças à segurança cibernética”. Também deverão esclarecer as capacidades da sua direção para avaliar e gerir os perigos materiais de ataques de cibersegurança.
Gary Gensler, presidente da SEC, afirmou que se uma companhia tem prejuízos devido a um incêndio que destruiu uma de suas fábricas ou devido a um incidente de segurança cibernética que eliminou milhões de arquivos, isso pode ser de grande interesse para os investidores. Atualmente, muitas empresas públicas informam aos investidores sobre questões relacionadas à cibersegurança. No entanto, para uma maior vantagem dos investidores, Gensler sugere que o relatório seja feito de forma consistente, comparável e com informações que possam ser usadas para fins de decisão.
Nos últimos meses, Roblox, T-Mobile e Google tornaram-se alvos de ataques cibernéticos. Além disso, um grande número de firmas foi afetado por um ataque cibernético na ferramenta MOVEit para a transferência de arquivos e esse número ainda aumenta à medida que mais companhias se desenvolvem.
A SEC começará a exigir que as empresas públicas informem qualquer violação de dados dentro de 90 dias após seu registro no Registro Federal, ou seja, até 18 de dezembro de 2023. Entretanto, as companhias terão que incluir seus protocolos de segurança cibernética nos registros Formulário 10-K a partir do ano fiscal que terminará após 15 de dezembro de 2023.
Com sorte, isso indica que logo poderemos descobrir quando nossos dados são violados por um grupo malicioso mais rapidamente.
