La Comisión de Valores y Bolsa (SEC) ha adoptado nuevas reglas que exigen a los registrantes revelar incidentes significativos de ciberseguridad y proporcionar actualizaciones anuales sobre su gestión, estrategia y gobernanza de riesgos de ciberseguridad. Este requisito también se aplica a los emisores privados extranjeros. El presidente de la SEC, Gary Gensler, enfatizó la importancia de la divulgación consistente, comparable y útil para la toma de decisiones de la información de ciberseguridad tanto para las empresas como para los inversores.
Bajo las nuevas reglas, los registrantes deben revelar cualquier incidente de ciberseguridad material en el nuevo Artículo 1.05 del Formulario 8-K, detallando la naturaleza, alcance, tiempo y su impacto material o probablemente material del incidente. Esta divulgación generalmente se debe realizar cuatro días hábiles después de que el registrante determine la materialidad del incidente. Sin embargo, la divulgación inmediata puede retrasarse si el Fiscal General de los Estados Unidos determina que representaría un riesgo sustancial para la seguridad nacional o la seguridad pública.
Además, el nuevo Artículo 106 de la Regulación S-K requiere que los registrantes describan sus procesos para evaluar, identificar y gestionar los riesgos materiales provenientes de las amenazas de ciberseguridad, los efectos materiales de estos riesgos e incidentes previos, y la supervisión de la junta directiva de estos riesgos. Se requiere estas divulgaciones en el informe anual del registrante en el Formulario 10-K.
Las reglas entrarán en vigencia 30 días después de la publicación del acta de adopción en el Registro Federal. Las divulgaciones de los formularios 10-K y 20-F serán obligatorias a partir de los informes anuales para los ejercicios fiscales que finalicen en o después del 15 de diciembre de 2023. Las divulgaciones de los formularios 8-K y 6-K serán obligatorias a partir de los 90 días posteriores a la fecha de publicación en el Registro Federal o después del 18 de diciembre de 2023, lo que ocurra más tarde. Las empresas de informes más pequeñas tendrán 180 días adicionales antes de que deban comenzar a proporcionar la divulgación del Formulario 8-K.
Source: sec.gov
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.