New SEC Rules: Material Incident Reporting Through Cybersecurity Disclosures

As regras da Securities and Exchange Commission (SEC) estabelecidas em 26 de julho de 2023, exigem que quase todas as empresas que arquivam documentos junto à SEC ("registrantes") descrevam os processos e procedimentos de gestão que utilizam para avaliar, identificar e gerenciar riscos de cibersegurança. As novas regulamentações visam fornecer aos investidores e participantes do mercado informações oportunas e confiáveis sobre as consequências de qualquer incidente material de cibersegurança.

Quais são os novos requisitos da SEC?

Em relação às regras de notificação de violação, as empresas registradas na SEC devem divulgar informações sobre incidentes materiais de cibersegurança dentro de quatro dias úteis. A SEC define um incidente material como um evento que um investidor razoável provavelmente consideraria significativo ao tomar uma decisão de investimento, como violações de dados, demandas de resgate e acesso não autorizado a sistemas. O relatório deve incluir a natureza, extensão e momento do incidente.

Mais importante ainda, os registrantes também são obrigados a explicar seu raciocínio ao decidir que um incidente não é material e não está relacionado a incidentes anteriores. Por exemplo, se uma violação de dados exigir resposta imediata e esforços extensivos de remediação por parte de uma equipe de segurança, ela é considerada reportável de acordo com as diretrizes da SEC, independentemente de perda financeira substancial ou roubo de dados de clientes.

Além disso, as novas regras da SEC introduzem o item 106 do regulamento S-K, que exige que os registrantes detalhem seus métodos para identificar, avaliar e gerenciar riscos substanciais de cibersegurança. Isso inclui discutir os efeitos desses riscos e quaisquer incidentes de cibersegurança anteriores, bem como explicar os papéis do conselho de administração e da gestão na supervisão e gerenciamento dessas ameaças de cibersegurança.

Quais empresas são obrigadas a cumprir?

As novas regras afetam todas as entidades dos EUA e emissores privados estrangeiros sujeitos aos requisitos de relatórios sob a Lei de Valores Mobiliários da SEC. De acordo com a SEC, emissores privados estrangeiros são quaisquer entidades que possam demonstrar que possuem menos de 50% de propriedade dos EUA ou, mesmo que tenham mais de 50% de propriedade dos EUA, que não estejam localizadas ou gerenciadas nos Estados Unidos, ou gerenciadas por pessoal dos EUA. As regras também se aplicam a empresas de desenvolvimento de negócios ("BDCs"), que são fundos de investimento fechados projetados para permitir que investidores de varejo aloquem fundos para pequenas e médias empresas privadas e invistam em vários outros ativos, incluindo empresas de capital aberto.

Quais são os prazos para conformidade?

A divulgação de incidentes materiais para registrantes domésticos deve ser arquivada dentro de quatro dias úteis após determinar que um incidente de cibersegurança é material. Os registrantes devem começar a cumprir até 18 de dezembro de 2023. Existem algumas exceções, por exemplo, para empresas com menos de US$ 100 milhões em receita anual.

Paralelamente, todos os registrantes devem fornecer divulgações de cibersegurança em seus relatórios anuais para exercícios fiscais encerrados em ou após 15 de dezembro de 2023.

Quais são as penalidades?

Ao relatar incidentes materiais de cibersegurança à SEC, as empresas devem pensar sobre quais tipos de dados foram afetados e como isso impacta seus negócios e finanças. O não cumprimento de tais diretrizes pode resultar em multas de vários milhões de dólares.

Como você pode garantir a conformidade com os requisitos de divulgação da SEC?

Os prazos para relatar incidentes à SEC são muito rigorosos, dado que a maioria dos incidentes deve ser relatada em questão de dias. Assim, as empresas já devem ter as pessoas, processos e ferramentas necessárias para analisar um incidente e apresentar um relatório em tempo hábil. Aqui estão duas considerações importantes para as empresas:

• Identificar que um incidente crítico é relevante e, de outra forma, conseguir provar que não era relevante pode ser complicado e desafiador. Isso requer recursos e ferramentas para executar processos detalhados a fim de descobrir o que levou ao incidente, quais dados foram potencialmente comprometidos e qual nível de risco os dados comprometidos representam tanto para a empresa impactada quanto para os indivíduos.
• Relatar como o conselho de administração lida com os riscos de cibersegurança. Isso significa que as equipes de gestão devem ter sistemas e processos eficazes prontos para responder às perguntas da SEC. Elas precisam abordar quais sistemas possuem para compreender os dados impactados e como podem remediar rapidamente incidentes significativos de cibersegurança.
  

Como a Cyera ajuda você a cumprir as novas regras da SEC

A Cyera permite que as empresas analisem e acelerem sua resposta a incidentes materiais que envolvem o comprometimento de dados. Nossa solução ajuda as empresas a aderir às novas regras da SEC com:

Visibilidade de Dados Regulamentados: A Cyera fornece visibilidade de todos os dados, especialmente dados regulamentados. Isso inclui quais dados uma empresa possui, onde estão localizados, quem tem acesso a eles e como são usados. Essa postura proativa é crucial para entender o impacto de um incidente material.‍

Contexto sobre Dados e Riscos: A Cyera gera contexto sobre seus dados, como a residência e a função do titular dos dados, bem como as classes de dados que foram comprometidos. Por exemplo, a Cyera categoriza informações de cartão de crédito, números de segurança social e outras informações que podem ser sinalizadas como de alto risco, aumentando a urgência de relatar o incidente material.

Prevenção e Resposta Eficientes: A Cyera ajuda a identificar quaisquer configurações incorretas que possam levar a um incidente relevante, minimizando o risco de uma violação e impedindo o acesso a dados confidenciais por pessoas não autorizadas. A Cyera também identifica vulnerabilidades e implementa ações de correção oportunas para fechar lacunas de segurança. Isso se torna crucial para reduzir o raio de impacto de um incidente.

Para saber mais sobre como você pode auditar melhor seus dados e se preparar contra incidentes materiais sob as regras da SEC, agende uma demonstração hoje.