A Comissão de Valores Mobiliários dos EUA (Securities and Exchange Commission - SEC) adotou regras que exigem que as empresas registradas divulguem incidentes cibernéticos materiais que enfrentem e informações materiais sobre gestão de riscos cibernéticos, estratégia e governança anualmente. Regras comparáveis foram também adotadas para emitentes privados estrangeiros.
"Se uma empresa perde uma fábrica em um incêndio - ou milhões de arquivos em um incidente cibernético - pode ser material para os investidores", disse o presidente da SEC, Gary Gensler. Ele salientou que a nova regulamentação visa garantir que as empresas divulguem informações cibernéticas materiais de maneira consistente e útil para a tomada de decisões.
As novas regras exigem que as empresas registradas divulguem qualquer incidente cibernético material e descrevam aspectos materiais da natureza, escopo e momento do incidente, bem como seu impacto material ou provável impacto material na empresa. A divulgação pode ser adiada se o Procurador-Geral dos Estados Unidos determinar que a divulgação imediata representaria um risco substancial para a segurança nacional ou pública e notificar a Comissão por escrito.
Além disso, as empresas registradas devem descrever seus processos, se houver, para avaliar, identificar e gerenciar riscos materiais decorrentes de ameaças cibernéticas, bem como os efeitos materiais ou prováveis efeitos materiais de riscos de ameaças cibernéticas e incidentes cibernéticos anteriores.
As regras exigem divulgações comparáveis por parte de emitentes privados estrangeiros em relação a incidentes cibernéticos materiais e à gestão de riscos cibernéticos, estratégia e governança. As regras finais entrarão em vigor 30 dias após a publicação do comunicado de adoção no Diário Oficial.
Com informações: SEC - https://www.sec.gov/news/press-release/2023-139
