10 Regras Cruciais para Atender às Exigências de Divulgação de Incidentes de Cibersegurança da SEC (bolsa de valores dos EUA)
Em um cenário onde ataques cibernéticos se tornam cada vez mais sofisticados e frequentes, a SEC (Securities and Exchange Commission) estabeleceu regras rigorosas para proteger investidores e manter a integridade do mercado. Estas normas não são meras formalidades – são imperativos estratégicos que podem determinar o futuro de sua organização.
Neste post, exploraremos as 10 regras cruciais que toda empresa deve seguir para atender às exigências da SEC. Desde a determinação de materialidade até o planejamento pós-incidente, cada regra é uma peça vital no quebra-cabeça da conformidade regulatória e da gestão de riscos cibernéticos.
Está pronto para transformar essas regras em uma vantagem competitiva para sua empresa? Continue lendo e descubra como lidar com confiança com este novo panorama regulatório.
10 Regras Cruciais para Atender às Exigências de Divulgação de Incidentes de Cibersegurança da SEC
- Divulgação de Incidentes de Cibersegurança Materiais: Empresas que enfrentam um incidente de cibersegurança material são obrigadas a divulgar informações relevantes, como a natureza, escopo, e impacto do incidente em suas operações financeiras e condições gerais.
- Determinação de Materialidade: Um fato ou incidente é considerado material se um investidor razoável considerar que sua divulgação poderia impactar significativamente sua decisão de investimento.
- Prazo para Relatar Incidentes: Um relatório sobre um incidente de cibersegurança material deve ser entregue à SEC em até quatro dias úteis após a empresa determinar que o incidente é de fato material.
- Responsabilidade de Divulgação de Incidentes em Sistemas de Terceiros: Empresas ainda são responsáveis por relatar incidentes ocorridos em sistemas de terceiros se esses afetarem significativamente seus próprios sistemas ou operações.
- Segurança nas Declarações Públicas: As empresas devem ter cautela ao divulgar informações sobre incidentes para não expor detalhes técnicos que possam aumentar seus riscos ou torná-las alvos de novos ataques.
- Consequências de Não Divulgar Incidentes: Não divulgar adequadamente um incidente material pode resultar em sanções regulatórias e processos judiciais, além de impactar negativamente a confiança de investidores.
- Envio de Relatórios por CISOs: Uma porcentagem significativa dos CISOs (75%) está diretamente envolvida no processo de divulgação de violações de cibersegurança à SEC, destacando a importância de seu papel na comunicação de incidentes.
- Programa de Denúncias da SEC: O Programa de Denúncias da SEC incentiva a denúncia de violações, inclusive de cibersegurança, oferecendo proteção legal e possíveis recompensas para denunciantes.
- Incidentes em Subsidiárias Estrangeiras: A obrigação de divulgar incidentes que ocorrem em subsidiárias estrangeiras pode depender da relação entre a subsidiária e a controladora e do impacto no desempenho geral da empresa.
- Planejamento Pós-Incidente: Empresas são aconselhadas a discutir regularmente as questões legais e cibersegurança com conselheiros jurídicos internos e externos para garantir conformidade com as normas de divulgação da SEC.
Confira também: 8 Estratégias Vitais para Atender às Novas Exigências da SEC em Cibersegurança
Gostou do conteúdo? Se você deseja aprofundar mais seu conhecimento sobre cibersegurança, confira os cursos disponíveis da IBSEC.
