Nova regulamentação da SEC irá mudar paradigma de segurança cibernética em empresas

Os tão esperados novos requisitos da SEC (Security and Exchange Commission) foram divulgados em 26 de julho para todas as empresas de capital aberto listadas em Bolsa de Valores e provocara uma forte mudança na forma como devem ser tratados e comunicados os incidentes e a gestão dos riscos cibernéticos.

Quais são os novos requisitos da regra da SEC sobre segurança cibernética?

Após várias sugestões do setor privado a SEC fez mudanças na versão inicial, resultando em novas regras que as empresas serão obrigadas a cumprir a partir de dezembro deste ano:

1. Relatar incidentes materiais de segurança cibernética dentro de quatro dias úteis a partir do momento em que uma violação for determinada pela empresa como “material”.

Na versão anterior as empresas deveriam divulgar um incidente dentro de quatro dias a partir deste reconhecimento, porém o mercado argumentou que seria muito difícil caracterizar a materialidade do evento sem antes de uma investigação mais detalhada da violação. Nesta redação final os quatro dias são contados a partir da identificação da materialidade dele.

Para o território americano caso esta divulgação possa de alguma forma representar um risco a segurança nacional, o procurador dos EUA poderá aprovar um atraso ou mesmo não divulgação do incidente.

Leia também: Retorno aos ‘negócios como de costume’ traz CISOs de volta à dura realidade

A nova norma também fez alterações no conteúdo da divulgação. As empresas agora são obrigadas a divulgar os aspectos materiais da natureza, escopo e momento do incidente, bem como o impacto material do incidente. Detalhes técnicos mais detalhados do incidente não são mais necessários, pois a divulgação poderia ser vantajosa para os próprios invasores.

Torna-se crítico agora ao relatar o impacto material do incidente que ele tenha sido quantificado em termos do impacto financeiro a empresa seja nas questões operacionais e em relação a sua relação com o mercado em geral, investidores, clientes e consumidores.

2. Divulgar em seus relatórios periódicos quando uma série de incidentes cibernéticos imateriais individuais previamente não divulgados se tornar material no agregado.

Nesta versão final, a SEC esclareceu que os incidentes imateriais devem estar relacionados entre si para exigir relatórios, como ataques do mesmo ator e/ou origem das ameaças ou exploração do mesmo tipo de vulnerabilidade bem como sua frequência e probabilidades.

3. Descrever em seus relatórios periódicos suas políticas e procedimentos para a identificação e gestão de riscos cibernéticos.

Torna-se mandatório as empresas relatar como tratam o risco cibernético, como parte geral de sua estratégia geral de negócios, planejamento financeiro e alocação de capital bem como detalhar como as formas e objetivos dos seus programas de gerenciamento de risco estão ajudando a identificar a provável probabilidade e o impacto financeiro de eventuais incidentes relevantes.

4. Descrever seus processos de governança de risco cibernético em seus relatórios periódicos.

Foi eliminado o requisito das empresas identificarem membros do conselho com algum tipo de experiencia anterior em segurança cibernética. Nesta versão final as empresas devem descrever como seus conselhos de administração estruturam processos para obterem e supervisionarem os riscos de segurança cibernética e como estas informações sobre os riscos estarão descritas nos relatórios aos investidores.

Quando a nova regra da SEC sobre cibernética entrará em vigor:

A maioria das empresas serão obrigadas a arquivar relatórios anuais em conformidade com a nova regra a partir de 15 de dezembro de 2023, enquanto algumas organizações menores terão de arquivar relatórios a partir de 15 de junho de 2024. Os novos requisitos de divulgação de incidentes entrarão em vigor para incidentes materiais ocorridos após 18 de dezembro de 2023.

Para as empresas que já tinham conhecimento desta regulamentação e que já implementaram programas efetivos de gerenciamento de riscos bem como sua quantificação aderir a esta regulamentação em 4 meses não será uma tarefa tão árdua, porém para aquelas que não iniciaram será uma corrida contra o tempo. Penso que a CVM no Brasil bem como o Banco Central irá estudar implementar regulamentações similares em poucos meses. Em paralelo para as empresas Brasileiras listadas nas Bolsas americanas deverão cumprir de imediato com esta regulamentação.

Como isso irá impactar a profissão de gerenciamento de riscos cibernéticos?

A nova regra da SEC terá um impacto profundo nas práticas de gerenciamento de risco cibernético iniciando pelos EUA e em extensão para todo mundo, pois obriga e impõe as empresas a olhar para o risco cibernético como um verdadeiro risco estratégico de negócios e não mais como uma mera questão técnica.

Esta é uma evolução que nós, do Instituto FAIR e do Capítulo Brasil, defendemos e apoiamos há muito tempo e temos a convicção de estarmos no caminho certo ao trazer ao Brasil esta metodologia e criar uma comunidade de especialistas no tema num momento tão aderente as melhores práticas e criticidade do tema de gestão dos riscos cibernéticos.

* Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!