Nuevas normas de la SEC: Notificación de incidentes importantes mediante divulgaciones sobre ciberseguridad.

Las normas de la Comisión de Bolsa y Valores (SEC) establecidas en 26 de julio de 2023Las nuevas regulaciones exigen que prácticamente todas las empresas que presentan documentos ante la SEC (en adelante, "entidades registradas") describan los procesos y procedimientos de gestión que utilizan para evaluar, identificar y gestionar los riesgos de ciberseguridad. Su objetivo es proporcionar a los inversores y participantes del mercado información oportuna y fiable sobre las consecuencias de cualquier incidente de ciberseguridad relevante.
¿Cuáles son los nuevos requisitos de la SEC?
En lo que respecta a las normas de notificación de infracciones, las entidades registradas ante la SEC deben divulgar información sobre incidentes de ciberseguridad relevantes en un plazo de cuatro días hábiles. La SEC define un incidente relevante como un evento que un inversor razonable probablemente consideraría significativo al tomar una decisión de inversión, como filtraciones de datos, demandas de rescate y acceso no autorizado a sistemas. El informe debe incluir la naturaleza, el alcance y la fecha del incidente.
Lo más importante es que los inscritos también deben explicar su razonamiento al decidir que un incidente es no material y no relacionado con incidentes previos. Por ejemplo, si una violación de datos requiere una respuesta inmediata y esfuerzos de remediación exhaustivos por parte de un equipo de seguridad, se considera que debe notificarse según las directrices de la SEC, independientemente de las pérdidas financieras sustanciales o el robo de datos de los clientes.
Además, las nuevas reglas de la SEC introducen Reglamento SK artículo 106que exige a los inscritos que detallen sus métodos para identificar, evaluar y gestionar riesgos sustanciales de ciberseguridad. Esto incluye analizar los efectos de estos riesgos y cualquier incidente de ciberseguridad previo, así como explicar las funciones del consejo de administración y la gerencia en la supervisión y gestión de estas amenazas de ciberseguridad.
¿Qué empresas están obligadas a cumplir con la normativa?
Las nuevas normas afectan a todas las entidades estadounidenses y emisores privados extranjeros sujetos a los requisitos de información de la Ley de Bolsas de Valores de la SEC. Según la SEC, emisores privados extranjeros son entidades que puedan demostrar que tienen menos del 50% de propiedad estadounidense o, incluso si tienen más del 50% de propiedad estadounidense, que no están ubicadas ni administradas en los Estados Unidos, ni administradas por personal estadounidense. Las reglas también se aplican a empresas de desarrollo empresarial Las "BDC" (o "BDC") son fondos de inversión cerrados diseñados para permitir a los inversores minoristas asignar fondos a pequeñas y medianas empresas privadas e invertir en otros activos, incluidas empresas que cotizan en bolsa.
¿Cuáles son los plazos para cumplir con los requisitos?
La divulgación de incidentes materiales para los registrados nacionales debe presentarse dentro de los cuatro días hábiles posteriores a la determinación de que un incidente de ciberseguridad es material. Los registrados deben comenzar a cumplir antes del 18 de diciembre de 2023. Hay algunas excepciones, por ejemplo, para empresas con menos de 100 millones de dólares en ingresos anuales.
Paralelamente, todos los inscritos deben proporcionar información sobre ciberseguridad en sus informes anuales correspondientes a los ejercicios fiscales que finalicen el 15 de diciembre de 2023 o después de esa fecha.
¿Cuáles son las sanciones?
Al informar incidentes importantes de ciberseguridad a la SEC, las empresas deben pensar qué tipo de datos se vieron afectados y cómo esto impacta su negocio y sus finanzas. El incumplimiento de dichas directrices puede resultar en multimillonarios sanciones.
¿Cómo puede garantizar el cumplimiento de los requisitos de divulgación de la SEC?
Los plazos para informar incidentes a la SEC son muy estrictos, dado que la mayoría deben reportarse en cuestión de días. Por lo tanto, las empresas ya deberían contar con el personal, los procesos y las herramientas necesarios para analizar un incidente y presentar un informe a tiempo. A continuación, se presentan dos consideraciones clave para las empresas:
- Determinar si un incidente crítico es relevante y, por otro lado, demostrar que no lo fue, puede resultar complejo y desafiante. Requiere recursos y herramientas para llevar a cabo procesos detallados que permitan averiguar qué provocó el incidente, qué datos se vieron potencialmente comprometidos y qué nivel de riesgo representan dichos datos tanto para la empresa como para las personas afectadas.
- Informar sobre cómo el consejo de administración gestiona los riesgos de ciberseguridad. Esto implica que los equipos directivos deben contar con sistemas y procesos eficaces para responder a las preguntas de la SEC. Deben explicar qué sistemas tienen implementados para comprender los datos afectados y cómo pueden remediar rápidamente los incidentes de ciberseguridad importantes.
Cómo Cyera le ayuda a cumplir con las nuevas normas de la SEC.
Cyera permite a las empresas analizar y acelerar su respuesta ante incidentes importantes que impliquen la filtración de datos. Nuestra solución ayuda a las empresas a cumplir con las nuevas normas de la SEC mediante:
Visibilidad de los datos regulados: Cyera ofrece visibilidad de todos los datos, especialmente de los datos regulados. Incluye información sobre qué datos posee una empresa, dónde se encuentran, quién tiene acceso a ellos y cómo se utilizan. Esta estrategia proactiva es fundamental para comprender el impacto de un incidente grave.
Contexto sobre datos y riesgos: Cyera genera información contextual sobre sus datos, como la residencia y el rol del titular de los datos, así como las clases de datos que se vieron comprometidos. Por ejemplo, Cyera clasifica la información de tarjetas de crédito, los números de seguridad social y otra información que pueda considerarse de alto riesgo, lo que aumenta la urgencia de reportar el incidente.
Prevención y respuesta eficaces: Cyera ayuda a identificar cualquier configuración errónea que pudiera provocar un incidente grave, minimizando el riesgo de una brecha de seguridad e impidiendo el acceso no autorizado a datos confidenciales. Cyera también identifica vulnerabilidades e implementa acciones correctivas oportunas para subsanar las deficiencias de seguridad. Esto resulta crucial para reducir el impacto de un incidente.
Para obtener más información sobre cómo puede auditar mejor sus datos y prepararse contra incidentes materiales según las normas de la SEC, Solicite una demostración hoy mismo..


