La Comissió de Valors i Borsa (SEC) ha adoptat noves normes que obliguen als registradors a divulgar incidents significatius de ciberseguretat i proporcionar actualitzacions anuals sobre la seva gestió de riscos de ciberseguretat, estratègia i governança. Aquest requisit també s’aplica als emissors privats estrangers. El president de la SEC, Gary Gensler, ha destacat la importància d’una divulgació consistent, comparable i útil per a la presa de decisions de la informació de ciberseguretat tant per a les empreses com per als inversors.
Segons les noves normes, els registradors han de divulgar qualsevol incident de ciberseguretat material en el nou ítem 1.05 del Formulari 8-K, detallant la naturalesa, abast, moment i el seu impacte material o probablement material de l’incident. Aquesta divulgació generalment es deu quatre dies hàbils després que el registrador determina la materialitat de l’incident. No obstant això, la divulgació immediata es pot retardar si el Fiscal General dels Estats Units determina que comportaria un risc substancial per a la seguretat nacional o la seguretat pública.
A més, el nou ítem 106 de la Regulació S-K exigeix als registradors descriure els seus processos per avaluar, identificar i gestionar els riscos materials derivats de les amenaces de ciberseguretat, els efectes materials d’aquests riscos i incidents anteriors, i la supervisió del consell d’administració d’aquests riscos. Es requereix aquestes divulgacions en l’informe anual del registrador en el Formulari 10-K.
Les normes entraran en vigor 30 dies després de la publicació de l’acta d’adopció al Registre Federal. Les divulgacions del Formulari 10-K i Formulari 20-F seran obligatòries començant amb informes anuals per a anys fiscals que acaben en o després del 15 de desembre de 2023. Les divulgacions del Formulari 8-K i Formulari 6-K seran obligatòries començant el darrer dels 90 dies després de la data de publicació al Registre Federal o el 18 de desembre de 2023. Les empreses de informes més petites tindran 180 dies addicionals abans que hagin de començar a proporcionar la divulgació del Formulari 8-K.
Source: sec.gov
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.