A estas alturas ya es de conocimiento común que la ciberseguridad es una preocupación crítica para todas las empresas. Pero para las empresas públicas, hay mucho en juego.
Al reconocer este hecho, la Comisión de Bolsa y Valores de EE. UU. (SEC) ha implementado la Regla de divulgación de seguridad cibernética de la SEC , que exige que las empresas públicas revelen los incidentes de seguridad cibernética.
Este es un paso significativo hacia la transparencia en el sector financiero. Pero, ¿qué significa para las actividades de cumplimiento de su organización?
Origen de la regla de divulgación de ciberseguridad de la SEC
La Regla de Divulgación de Ciberseguridad de la SEC no surgió en el vacío. Su existencia es un testimonio de la creciente prevalencia de las amenazas cibernéticas en el sector financiero.
Históricamente, las empresas públicas de Estados Unidos no tenían la obligación de revelar incidentes cibernéticos, y esta falta de transparencia planteaba riesgos para los inversores y la integridad del mercado. La Regla de divulgación de seguridad cibernética de la SEC se introdujo para abordar estas preocupaciones, trabajando para proteger a los inversores y mantener mercados justos garantizando la transparencia en torno a los incidentes cibernéticos.
La regla se aplica a todas las empresas públicas y les exige que revelen con prontitud los riesgos e incidentes importantes de ciberseguridad. Una amplia gama de incidentes cibernéticos entran dentro del alcance de este requisito, desde filtraciones de datos hasta ataques de ransomware.
El objetivo de la SEC es garantizar que los inversores tengan la información necesaria para tomar decisiones informadas. Al exigir a las empresas que revelen incidentes cibernéticos, la SEC busca promover la transparencia y la rendición de cuentas en el sector público.
Requisitos clave para empresas públicas
La Regla de divulgación de ciberseguridad de la SEC impone varios requisitos clave a las empresas públicas.
- En primer lugar , las empresas deben divulgar los riesgos e incidentes importantes de ciberseguridad de manera oportuna. Esto incluye tanto ataques exitosos como intentos de infracción que podrían tener un impacto material en la empresa. Los criterios para determinar si un incidente cibernético es “material” quedan a discreción de la empresa. Los factores a considerar incluyen la naturaleza del incidente, su impacto en las operaciones o la salud financiera y el daño potencial a los clientes o las relaciones comerciales.
- En segundo lugar , las empresas deben revelar sus políticas de gobernanza de la ciberseguridad. Esto incluye el papel de la junta directiva en la supervisión de estas políticas, destacando la importancia del liderazgo en la gestión de los riesgos de ciberseguridad. La norma también exige que las empresas revisen y actualicen periódicamente sus estrategias de ciberseguridad.
- Finalmente , las empresas públicas deben contar con planes de respuesta a incidentes. Estos planes deben divulgarse según la norma, destacando la preparación de la empresa para manejar incidentes cibernéticos.
Aplicación y sanciones por incumplimiento
La SEC es responsable de hacer cumplir la Regla de divulgación de seguridad cibernética, y tiene autoridad para investigar posibles violaciones e imponer sanciones. Estas sanciones pueden variar desde multas hasta la suspensión o revocación del registro de valores de una empresa.
No hace falta decir que el incumplimiento puede tener serias ramificaciones negativas más allá de cualquier acción punitiva adoptada por la SEC. Puede provocar daños a la reputación, pérdida de confianza de los inversores y, en casos graves, acciones legales por parte de los accionistas. Por lo tanto, lo mejor para las empresas es cumplir con la regla y mantener la transparencia en sus divulgaciones de ciberseguridad.
Fuente:Tim Herr
