Inicio > noticias-corporativas > Cyber Segurança e as novas regras propostas pela SEC (Securities and Exchange)    
17/05/2022

Cyber Segurança e as novas regras propostas pela SEC (Securities and Exchange)

Cyber Segurança e as novas regras propostas pela SEC (Securities and Exchange)

São Paulo/SP 17/5/2022 – Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética

Em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada para informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes

A Securities and Exchange Commission (SEC) (Comissão de Valores Mobiliários dos Estados Unidos) emite orientações relacionadas a Cyber Segurança. Desde 2011 orientações interpretativas são divulgadas aos registrantes (empresas listadas), contudo as práticas de divulgação ainda eram inconsistentes.

Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada de modo a informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes (materiais[1]) de cyber segurança, além de permitir que investidores avaliem sua exposição de maneira adequada.

Resumidamente, a SEC propõe que:

Especificamente sobre a divulgação de novos incidentes (materiais ou não), os seguintes itens foram propostos:

Além de melhor estruturação em relação ao tema de incidentes, a SEC propôs, por parte dos registrantes, a divulgação aprimorada e padronizada sobre gerenciamento, estratégia e governança de riscos de cyber segurança. De modo resumido a proposta apresenta: (atualizações foram realizadas no Form 20-F)

Por fim, em sua maioria, seus registrantes são grandes corporações que nos últimos anos, tem criado e implementado controles de cyber segurança em suas operações, os quais são exigidos por regulamentações do próprio mercado (BC4893), leis nacionais (LGPD) e internacionais (GDPR), frameworks e boas práticas (SANS, NIST), e até mesmo pressão do próprio mercado no sentido de ter uma vantagem competitiva ao obter um selo ou certificação relacionado ao tema, como por exemplo, um ISO 27001.

É evidente que tal proposta realizada pela SEC junto a seus registrantes tem por objetivo: estruturar e padronizar a divulgação de incidentes de cyber segurança, mapear o programa de cyber segurança e identificar o nível de conhecimento do Conselho de Administração junto ao tema central da proposta (conscientização em cyber segurança).

Certamente todos os atores envolvidos somente têm benefícios a colher, uma vez que tais iniciativas fomentarão uma maior maturidade em cyber segurança dos registrantes e apresentarão maior transparência e conhecimento em relacao ao tema, para seus investidores.

[1] O que define a materialidade de um incidente de cyber segurança? As registrantes devem desenvolver protocolos internos, de modo a determinar de modo objetivo a materialidade do incidente. A SEC recomenda que fatores quantitativos e qualitativos sejam considerados, com base na natureza, extensão e magnitude potencial de dano de um incidente. Adicionalmente, uma avaliação dos custos associados a um incidente, se estes ultrapassam um determinado limite financeiro em referência aos ativos gerais, patrimônio, receita ou lucro líquido da empresa, ou analisar o impacto do incidente tem ou pode ter na estratégia de negócios, perspectivas financeiras e planejamento financeiro.

[2] Formulário 8-K (Form 8-K) é um formulário muito amplo e um dos mais utilizados na notificação de fato relevantes aos investidores, oriundos de eventos específicos que podem ser importantes para os acionistas ou para a SEC.

[3] Inline XBRL é linguagem de dados estruturada que permite que um único documento seja legível por humanos e/ ou computadores.

Referências:

https://www.sec.gov/files/33-11038-fact-sheet.pdf

https://www.sec.gov/rules/proposed/2022/33-11038.pdf

Website: http://www.safewayconsultoria.com