A Comissão de Valores Mobiliários (SEC) adotou novas regras com o objetivo de aprimorar e padronizar as divulgações relacionadas à cibersegurança. Essas regras exigem que as empresas registradas relatem prontamente incidentes de cibersegurança por meio dos formulários 8-K e 6-K. Além disso, as empresas também devem incluir informações sobre sua gestão de riscos, estratégias e governança em relação à cibersegurança nos relatórios anuais apresentados nos formulários 10-K e 20-F.

A Securities and Exchange Comission (SEC) é a agência reguladora governamental dos EUA encarregada da supervisão do setor corporativo, dos participantes do mercado de capitais e do mercado de valores mobiliários e instrumentos de investimento, e da proteção do público investidor.

A SEC reconheceu que uma parcela cada vez maior da atividade econômica depende de sistemas eletrônicos, e interrupções nesses sistemas podem ter efeitos significativos sobre os registrantes. Também afirmou que investidores e outros participantes do mercado de capitais precisam de informações mais oportunas e confiáveis sobre os impactos de incidentes de cibersegurança materiais. As novas regras têm como objetivo garantir que os participantes divulguem informações materiais sobre cibersegurança e forneçam aos investidores informações mais consistentes, comparáveis ​​e úteis para a tomada de decisões.

Essas regras incorporam muitos dos conceitos na orientação interpretativa sobre cibersegurança que a SEC emitiu em 2018 e na orientação da equipe da Divisão de Finanças Corporativas (DCF) de 2011 sobre divulgações de cibersegurança. A orientação de 2018 e a orientação da DCF de 2011 não exigiam divulgações específicas e prescritivas relacionadas à cibersegurança.

Em vez disso, a orientação da DCF de 2011 afirma que os participantes devem considerar o risco associado a violações de cibersegurança ao divulgar questões materiais em seus registros e relatórios periódicos. A orientação da equipe referia os participantes às suas obrigações de relatório sob o Regulamento S-K, incluindo fatores de risco, processos legais, descrição do negócio e análise da administração sobre a condição financeira e resultados das operações (MD&A), entre outros requisitos de relatório e divulgação.

À medida que os riscos de cibersegurança evoluíram, a SEC emitiu o Lançamento Interpretativo de 2018, que foi além da orientação da DCF de 2011 e abordou a importância da governança corporativa, a aplicação de controles e procedimentos de divulgação aos riscos de cibersegurança. O Lançamento Interpretativo de 2018 afirmou que os participantes devem considerar a divulgação de incidentes nos Formulários 8-K e 6-K e também abordou se os participantes devem considerar restrições à negociação por insiders no período após uma violação, mas antes da divulgação.

A SEC afirmou que, devido à variação nas práticas de divulgação entre os participantes, adotou as novas regras para exigir divulgações mais prescritivas sobre incidentes de cibersegurança e gestão de riscos e governança. No entanto, os participantes ainda devem considerar a orientação do Lançamento Interpretativo de 2018 e da orientação da DCF de 2011 relacionada a fatores de risco, processos legais e MD&A, entre outras áreas, ao preparar relatórios periódicos e declarações de registro.

As regras se aplicam a quase todos os participantes obrigados a apresentar relatórios periódicos (por exemplo, Formulário 10-K, Formulário 20-F) à SEC, incluindo empresas de pequeno porte (SRCs) e emissores estrangeiros privados (FPIs). As regras não alteram o Formulário 40-F e, portanto, não se aplicam aos FPIs canadenses no âmbito do sistema de divulgação multijurisdicional (MJDS).

Esta publicação inclui um apêndice com uma lista de verificação de divulgação que resume os requisitos para incidentes de cibersegurança e gestão de riscos, estratégia e governança de cibersegurança, bem como aqueles para FPIs.

As regras se aplicam a quase todos os registrantes obrigados a apresentar relatórios periódicos com a SEC, incluindo empresas de pequeno porte e emissores estrangeiros privados. Destaca-se também a necessidade de as empresas avaliarem a materialidade de incidentes de cibersegurança, considerando fatores quantitativos e qualitativos, como impacto financeiro, danos à marca, relacionamentos com clientes e fornecedores, litígios e investigações regulatórias.

As novas regras entrarão em vigor em datas específicas, dependendo do tipo de relatório e do tamanho da empresa. As empresas também serão obrigadas a marcar suas divulgações de cibersegurança em Inline XBRL após um ano da data inicial de conformidade com os requisitos de divulgação relacionados.

Para saber mais, clique aqui.