Novas regras da SEC: Relatórios de incidentes relevantes por meio de divulgações de segurança cibernética

Feb 1, 2024
Share

As normas da Comissão de Valores Mobiliários (SEC) estabelecidas sobre 26 de julho de 2023As novas regulamentações exigem que quase todas as empresas que registram documentos na SEC ("registrantes") descrevam os processos e procedimentos de gestão que utilizam para avaliar, identificar e gerenciar riscos de segurança cibernética. O objetivo das novas regulamentações é fornecer aos investidores e participantes do mercado informações oportunas e confiáveis ​​sobre as consequências de qualquer incidente de segurança cibernética relevante.

Quais são os novos requisitos da SEC?

Em relação às regras de notificação de violação de dados, as empresas registradas na SEC (Comissão de Valores Mobiliários dos EUA) devem divulgar informações sobre incidentes de segurança cibernética relevantes em até quatro dias úteis. A SEC define um incidente relevante como um evento que um investidor razoável provavelmente consideraria significativo ao tomar uma decisão de investimento, como violações de dados, pedidos de resgate e acesso não autorizado a sistemas. O relatório deve incluir a natureza, a extensão e a data do incidente.

Mais importante ainda, os inscritos também são obrigados a explicar seu raciocínio ao decidir que um incidente é não material e não relacionado a incidentes anteriores. Por exemplo, se uma violação de dados exigir resposta imediata e esforços extensivos de remediação por parte de uma equipe de segurança, ela é considerada reportável de acordo com as diretrizes da SEC, independentemente de perdas financeiras substanciais ou roubo de dados de clientes.

Além disso, as novas regras da SEC introduzem regulamento SK item 106, que exige que os inscritos detalhem seus métodos para identificar, avaliar e gerenciar riscos substanciais de segurança cibernética. Isso inclui discutir os efeitos desses riscos e quaisquer incidentes de segurança cibernética anteriores, bem como explicar os papéis do conselho de administração e da gerência na supervisão e gerenciamento dessas ameaças à segurança cibernética.

Quais empresas são obrigadas a cumprir?

As novas regras afetam todas as entidades dos EUA e emissores privados estrangeiros sujeitos aos requisitos de divulgação da Lei de Valores Mobiliários da SEC. De acordo com a SEC, emissores privados estrangeiros São consideradas entidades quaisquer aquelas que possam comprovar que possuem menos de 50% de participação acionária americana ou, mesmo que possuam mais de 50% de participação americana, que não estejam localizadas ou administradas nos Estados Unidos, ou que não sejam administradas por pessoal americano. As regras também se aplicam a empresas de desenvolvimento de negócios (“BDCs”), que são fundos de investimento fechados concebidos para permitir que investidores de varejo aloquem recursos em pequenas e médias empresas privadas e invistam em diversos outros ativos, incluindo empresas de capital aberto.

Quais são os prazos para cumprimento?

A divulgação de incidentes relevantes para empresas registradas no mercado interno deve ser feita em até quatro dias úteis após a constatação de que um incidente de segurança cibernética é relevante. As empresas registradas devem começar a cumprir essa exigência até 18 de dezembro de 2023. Existem algumas exceções, por exemplo, para empresas com menos de 100 milhões de dólares em receita anual.

Em paralelo, todos os registrantes devem fornecer divulgações de segurança cibernética em seus relatórios anuais para os exercícios fiscais que terminam em ou após 15 de dezembro de 2023.

Quais são as penalidades?

Ao reportar incidentes de segurança cibernética relevantes à SEC (Comissão de Valores Mobiliários dos EUA), as empresas devem considerar quais tipos de dados foram afetados e como isso impacta seus negócios e finanças. O não cumprimento dessas diretrizes pode resultar em sanções. vários milhões de dólares penalidades.

Como garantir a conformidade com os requisitos de divulgação da SEC?

Os prazos para reportar incidentes à SEC são muito rigorosos, visto que a maioria dos incidentes deve ser reportada em questão de dias. Portanto, as empresas já devem ter as pessoas, os processos e as ferramentas necessárias para analisar um incidente e apresentar um relatório em tempo hábil. Aqui estão duas considerações importantes para as empresas:

  • Identificar se um incidente crítico é relevante e, ao mesmo tempo, provar que não o foi, pode ser complexo e desafiador. Requer recursos e ferramentas para executar processos detalhados a fim de descobrir o que levou ao incidente, quais dados foram potencialmente comprometidos e qual o nível de risco que esses dados representam tanto para a empresa afetada quanto para os indivíduos envolvidos.
  • Relatar como o conselho de administração lida com os riscos de cibersegurança. Isso significa que as equipes de gestão devem ter sistemas e processos eficazes prontos para responder às perguntas da SEC. Elas precisam explicar quais sistemas possuem para entender os dados afetados e como podem remediar rapidamente incidentes significativos de cibersegurança.

Como a Cyera ajuda você a cumprir as novas regras da SEC

A Cyera permite que as empresas analisem e acelerem sua resposta a incidentes relevantes que envolvam a violação de dados. Nossa solução ajuda as empresas a cumprirem as novas regras da SEC com:

Visibilidade dos dados regulamentados: A Cyera oferece visibilidade de todos os dados, especialmente os dados regulamentados. Isso inclui quais dados uma empresa detém, onde estão localizados, quem tem acesso a eles e como são usados. Essa postura proativa é crucial para entender o impacto de um incidente relevante.

Contexto sobre dados e riscos: A Cyera gera contexto sobre seus dados, como a residência e a função do titular dos dados, bem como as classes de dados que foram comprometidas. Por exemplo, a Cyera categoriza informações de cartão de crédito, números de seguro social e outras informações que podem ser sinalizadas como de alto risco, aumentando a urgência de relatar o incidente relevante.

Prevenção e resposta eficientes: A Cyera ajuda a identificar quaisquer configurações incorretas que possam levar a um incidente grave, minimizando o risco de violação e impedindo o acesso a dados sensíveis por pessoas não autorizadas. A Cyera também identifica vulnerabilidades e implementa ações corretivas oportunas para sanar as falhas de segurança. Isso se torna crucial para reduzir o impacto de um incidente.

Para saber mais sobre como você pode auditar melhor seus dados e se preparar para incidentes relevantes de acordo com as normas da SEC, Agende uma demonstração hoje mesmo.

Share