New SEC Rules: Material Incident Reporting Through Cybersecurity Disclosures

Las reglas de la Comisión de Bolsa y Valores (SEC) establecidas el 26 de julio de 2023 requieren que casi todas las empresas que presentan documentos ante la SEC (“registrantes”) describan los procesos y procedimientos de gestión que utilizan para evaluar, identificar y gestionar los riesgos de ciberseguridad. Las nuevas regulaciones buscan proporcionar a los inversionistas y participantes del mercado información oportuna y confiable sobre las consecuencias de cualquier incidente material de ciberseguridad.

¿Cuáles son los nuevos requisitos de la SEC?

Con respecto a las reglas de notificación de brechas, los registrantes de la SEC deben divulgar información sobre incidentes materiales de ciberseguridad dentro de cuatro días hábiles. La SEC define un incidente material como un evento que un inversionista razonable probablemente consideraría significativo al tomar una decisión de inversión, como violaciones de datos, exigencias de rescate y accesos no autorizados a sistemas. El informe debe incluir la naturaleza, el alcance y el momento del incidente.

Lo más importante es que también se exige a los registrantes que expliquen su razonamiento al decidir que un incidente no es material y que no está relacionado con incidentes previos. Por ejemplo, si una brecha de datos requiere respuesta inmediata y amplios esfuerzos de remediación por parte de un equipo de seguridad, se considera reportable bajo las directrices de la SEC, independientemente de que exista una pérdida financiera sustancial o robo de datos de clientes.

Además, las nuevas reglas de la SEC introducen el punto 106 del Reglamento S-K, que exige a los registrantes detallar sus métodos para identificar, evaluar y gestionar riesgos cibernéticos sustanciales. Esto incluye discutir los efectos de estos riesgos y cualquier incidente cibernético previo, así como explicar los roles del consejo de administración y de la dirección en la supervisión y gestión de estas amenazas cibernéticas.

¿Qué empresas están obligadas a cumplir?

Las nuevas reglas afectan a todas las entidades de EE. UU. y a los emisores privados extranjeros sujetos a los requisitos de información conforme a la Ley de Intercambio de la SEC. Según la SEC, foreign private issuers son aquellas entidades que pueden demostrar que tienen menos del 50% de propiedad estadounidense o que, aun cuando tengan más del 50% de propiedad estadounidense, no están ubicadas ni administradas en Estados Unidos, o no están administradas por personal estadounidense. Las reglas también aplican a business development companies (“BDCs”), que son fondos de inversión de capital cerrado diseñados para permitir que los inversionistas minoristas asignen recursos a empresas privadas pequeñas y medianas e inviertan en diversos otros activos, incluidas las empresas que cotizan en bolsa.

¿Cuáles son los plazos para cumplir?

La divulgación de incidentes materiales para registrantes nacionales debe presentarse dentro de los cuatro días hábiles siguientes a determinar que un incidente de ciberseguridad es material. Los registrantes deben comenzar a cumplir a partir del 18 de diciembre de 2023. Existen algunas excepciones, por ejemplo, para empresas con menos de $100 millones en ingresos anuales.

En paralelo, todos los registrantes deben proporcionar divulgaciones de ciberseguridad en sus informes anuales para los ejercicios fiscales que terminen el 15 de diciembre de 2023 o después.

¿Cuáles son las sanciones?

Al reportar incidentes materiales de ciberseguridad a la SEC, las empresas deben considerar qué tipos de datos se vieron afectados y cómo esto impacta su negocio y sus finanzas. No cumplir con estas directrices puede resultar en multimillonarias sanciones.

¿Cómo puedes asegurar la preparación para los requisitos de divulgación de la SEC?

Los plazos para reportar incidentes a la SEC son muy estrictos, dado que la mayoría de los incidentes deben reportarse en cuestión de días. Por lo tanto, las empresas deberían contar de antemano con las personas, los procesos y las herramientas necesarios para analizar un incidente y presentar un informe a tiempo. A continuación, dos consideraciones clave para las empresas:

• Identificar que un incidente crítico es material y, a la vez, poder demostrar que no lo fue puede ser complicado y desafiante. Requiere recursos y herramientas para ejecutar procesos detallados con el fin de averiguar qué provocó el incidente, qué datos pudieron haber sido comprometidos y qué nivel de riesgo representa la información comprometida tanto para la empresa afectada como para las personas.
• Informar cómo el consejo de administración maneja los riesgos de ciberseguridad. Esto significa que los equipos directivos deben contar con sistemas y procesos eficaces para responder a las preguntas de la SEC. Deben abordar qué sistemas tienen implementados para entender los datos afectados y cómo pueden remediar con rapidez incidentes significativos de ciberseguridad.
  

Cómo Cyera te ayuda a cumplir con las nuevas reglas de la SEC

Cyera permite a las empresas analizar y acelerar su respuesta a incidentes materiales que implican la filtración o el compromiso de datos. Nuestra solución ayuda a las empresas a cumplir con las nuevas reglas de la SEC con:

Visibilidad de los datos regulados: Cyera ofrece visibilidad de todos los datos, especialmente de los regulados. Incluye qué datos posee una empresa, dónde se encuentran, quién tiene acceso y cómo se utilizan. Esta postura proactiva es crucial para comprender el impacto de un incidente material.‍

Contexto sobre datos y riesgos: Cyera genera contexto sobre tus datos, como la residencia y el rol del titular de los datos, así como las clases de datos que se vieron comprometidas. Por ejemplo, Cyera clasifica la información de tarjetas de crédito, números de seguro social y otra información que puede marcarse como de alto riesgo, lo que aumenta la urgencia de reportar el incidente material.

Prevención y respuesta eficientes: Cyera ayuda a identificar cualquier error de configuración que pueda provocar un incidente material, minimizando el riesgo de una brecha e impidiendo el acceso a datos sensibles por parte de personas no autorizadas. Cyera también identifica vulnerabilidades e implementa acciones de remediación oportunas para cerrar brechas de seguridad. Esto resulta crucial para reducir el radio de impacto de un incidente. 

Para obtener más información sobre cómo auditar mejor tus datos y prepararte contra incidentes materiales bajo las reglas de la SEC, programa una demostración hoy.