La Comisión del Mercado de Valores de EE.UU. ha finalizado recientemente las normas sobre divulgación de incidentes de ciberseguridad y gestión de riesgos. Aunque estas normas se aplican directamente a las empresas públicas, cualquier empresa -pública o privada- que haga negocios con una empresa pública tendrá que prestar atención. Las nuevas normas exigen que las empresas públicas presenten una declaración sobre cualquier incidente de ciberseguridad que se considere importante para los inversores y describan la naturaleza, el alcance, el momento y el impacto (o el impacto razonablemente probable) del incidente en la organización. Por lo general, el punto 1.05 del Formulario 8-K deberá presentarse en un plazo de cuatro días hábiles después de que se determine que un incidente es material. En el informe anual, las empresas deben describir sus procesos para evaluar, identificar y gestionar las amenazas a la ciberseguridad. También deben describir la supervisión y experiencia del consejo en la evaluación y gestión de estas amenazas. Muchas empresas públicas ya disponen de procesos y procedimientos para identificar incidentes de ciberseguridad y compartir la información con las partes interesadas, aunque es posible que deban ser más sólidos para cumplir las nuevas normas. «Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta información se divulgara de forma más coherente, comparable y útil para la toma de decisiones», dijo el presidente de la SEC, Gary Gensler. «Al ayudar a garantizar que las empresas divulguen la información material sobre ciberseguridad, las normas de hoy beneficiarán a los inversores, a las empresas y a los mercados que las conectan».
Prepárate ahora
Las nuevas normas entrarán en vigor en gran medida a partir de los informes anuales de los ejercicios fiscales que finalicen el 15 de diciembre de 2023 o después. Las empresas más pequeñas disponen de 180 días más para cumplirlas. Aunque es posible que tu empresa ya disponga de un protocolo para hacer frente a las ciberamenazas, las nuevas normas exigen que tus procesos y umbrales se formalicen y comuniquen en tus informes financieros. He aquí tres pasos que debes dar ahora:
1. Revisa tus políticas de ciberseguridad y adáptalas si es necesario. Muchas empresas ya clasifican los incidentes como de prioridad alta, media o baja en función del tipo de información que podría verse comprometida. Pero un incidente de alta prioridad no lo califica necesariamente de «material» desde la perspectiva de la SEC. Por ejemplo, un incidente relacionado con información de identificación personal sería de alta prioridad, pero sólo se consideraría material si afecta a los inversores o a la capacidad de la empresa para operar. Cada empresa debe definir por sí misma qué se considera material, establecer normas para identificar esas ciberamenazas e incidentes y comunicar el impacto a los inversores.
2. Evalúa los incidentes actuales y clasifícalos como materiales/no materiales. Aplica tus normas de materialidad para identificar qué incidentes o cuasi incidentes deben divulgarse. Esta divulgación debe contener una descripción de los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como su impacto material o el impacto material razonablemente probable sobre el registrante, incluida su situación financiera y los resultados de sus operaciones. Una vez que un incidente de ciberseguridad se considere material, tienes cuatro días hábiles para presentar un Formulario 8-K del Artículo 1.05. Ten en cuenta que debes revelar el impacto de los incidentes de ciberseguridad previamente comunicados que ahora se consideran materiales.
3. Haz que tus proveedores externos cumplan tus normas de ciberseguridad. Puesto que un incidente de ciberseguridad de un tercero podría afectar significativamente a tu negocio, tus proveedores deben cumplir tus normas de ciberseguridad. Los proveedores que son empresas públicas ya dispondrán de la mayor parte de esta información para sus propios archivos. Las empresas privadas, sin embargo, pueden tener una cantidad considerable de trabajo que hacer antes de que puedan proporcionar lo que se necesita. Tienes que establecer un proceso de revisión de los incidentes de ciberseguridad de tus terceros para determinar si el incidente es material y el impacto potencial para tus propias declaraciones.
Aumento de la presión
Dado que actualmente no existe una norma para determinar la materialidad, los terceros pueden verse en la necesidad de seguir parámetros diferentes para cada uno de sus clientes. Mantenerse al día con cientos de protocolos potenciales será todo un reto, incluso para las empresas públicas. Los terceros podrían decidir simplemente seguir la norma más estricta. Sin embargo, ese planteamiento podría abrumar a los clientes con umbrales más elevados. La creciente dependencia de terceros proveedores de servicios (incluido el almacenamiento en la nube), de hecho, es uno de los factores señalados por la SEC como contribuyentes al alarmante aumento del coste de los incidentes de ciberseguridad. Otros factores que aumentan el coste y la frecuencia de los incidentes son la digitalización de las operaciones, el aumento del trabajo a distancia y la capacidad de los delincuentes para sacar provecho de los incidentes de ciberseguridad, ninguno de los cuales se espera que disminuya pronto. Aunque se han producido algunas mejoras en la información que divulgan las empresas desde que se publicaron originalmente las directrices de la SEC en 2011, las nuevas normas añadirán la coherencia y claridad tan necesarias a lo que se comunica, cómo se comunica y cuándo se comunica. Los inversores dispondrán ahora de información útil para evaluar la exposición de una empresa a riesgos materiales de ciberseguridad y su capacidad para gestionar los incidentes. Y sin duda será una buena noticia.
Para saber más sobre cómo agilizar el cumplimiento, descárgate nuestro ebook, Transformar el cumplimiento de Check-the-Box a Championy consulta software de Cumplimiento Riskonnect de Riskonnect.
