A Comissão de Valores Mobiliários dos EUA finalizou recentemente as regras sobre a divulgação de incidentes de cibersegurança e a gestão de riscos. Embora estas regras se apliquem diretamente às empresas públicas, qualquer empresa – pública ou privada – que faça negócios com uma empresa pública terá de estar atenta. As novas regras exigem que as empresas públicas apresentem uma divulgação de qualquer incidente de cibersegurança considerado material para os investidores e descrevam a natureza, o âmbito, o momento e o impacto do incidente (ou o impacto razoavelmente provável) na organização. O item 1.05 do Formulário 8-K deverá ser entregue, em geral, no prazo de quatro dias úteis após um incidente ser considerado relevante. No relatório anual, as empresas devem descrever os seus processos de avaliação, identificação e gestão das ameaças à cibersegurança. Devem também descrever a supervisão do conselho de administração e a sua experiência na avaliação e gestão destas ameaças. Muitas empresas públicas já dispõem de processos e procedimentos para identificar incidentes de cibersegurança e partilhar a informação com as partes interessadas – embora possam ter de ser mais robustos para cumprir as novas regras. “No entanto, penso que tanto as empresas como os investidores beneficiariam se esta divulgação fosse efectuada de uma forma mais consistente, comparável e útil para a tomada de decisões”, afirmou o Presidente da SEC, Gary Gensler. “Ao ajudar a garantir que as empresas divulguem informações materiais sobre segurança cibernética, as regras de hoje beneficiarão investidores, empresas e os mercados que os conectam.”
Prepara-te agora
As novas regras entrarão em vigor, em grande medida, a partir dos relatórios anuais para os anos fiscais que terminem em ou após 15 de dezembro de 2023. As empresas mais pequenas têm mais 180 dias para se adaptarem. Embora a tua empresa possa já ter um protocolo para lidar com ameaças cibernéticas, as novas regras exigem que os teus processos e limites sejam formalizados e comunicados nos teus relatórios financeiros. Aqui estão três passos a seguir agora:
1. Revê as tuas políticas de cibersegurança e ajusta-as conforme necessário. Muitas empresas já classificam os incidentes como de alta, média ou baixa prioridade com base no tipo de informação que pode ser comprometida. Mas um incidente de alta prioridade não o qualifica necessariamente como “material” na perspetiva da SEC. Um incidente envolvendo PII, por exemplo, seria de alta prioridade, mas só seria considerado material se tivesse impacto nos investidores ou na capacidade de funcionamento da empresa. Cada empresa precisa de definir por si própria o que é considerado material, estabelecer normas para identificar essas ciberameaças e incidentes e comunicar o impacto aos investidores.
2. Avalia os incidentes actuais e classifica-os como materiais/não materiais. Aplica as tuas normas de materialidade para identificar quais os incidentes ou quase-acidentes que devem ser divulgados. Esta divulgação deve conter uma descrição dos aspectos materiais da natureza, âmbito e momento do incidente, bem como o seu impacto material ou o impacto material razoavelmente provável na entidade registada, incluindo a sua situação financeira e os resultados das operações. Quando um incidente de cibersegurança for considerado material, tens quatro dias úteis para apresentar um Formulário 8-K, Item 1.05. Nota que tens de divulgar o impacto de incidentes de cibersegurança anteriormente comunicados e agora considerados materiais.
3. Responsabiliza os teus fornecedores terceiros pelas tuas normas de cibersegurança. Uma vez que um incidente de cibersegurança num terceiro pode ter um impacto significativo na tua empresa, os teus fornecedores têm de cumprir as tuas normas de cibersegurança. Os fornecedores que são empresas públicas já terão a maior parte destas informações para os seus próprios registos. As empresas privadas, no entanto, podem ter uma quantidade considerável de trabalho a fazer antes de poderem fornecer o que é necessário. É necessário estabelecer um processo para analisar os incidentes de cibersegurança nos seus terceiros para determinar se o incidente é material e o potencial impacto para as suas próprias divulgações.
Aumentar a pressão
Dado que atualmente não existe uma norma para determinar a materialidade, os terceiros poderão ter de seguir parâmetros diferentes para cada um dos seus clientes. Manter-se a par de centenas de protocolos será um desafio, mesmo para as empresas públicas. Os terceiros poderiam decidir seguir simplesmente a norma mais rigorosa. No entanto, essa abordagem pode sobrecarregar os clientes com limiares mais elevados. A crescente dependência de fornecedores de serviços terceiros (incluindo o armazenamento em nuvem) é, de facto, um dos factores apontados pela SEC como contribuindo para o aumento alarmante do custo dos incidentes de cibersegurança. Outros factores que aumentam o custo e a frequência dos incidentes incluem a digitalização das operações, o crescimento do trabalho remoto e a capacidade de os criminosos lucrarem com os incidentes de cibersegurança – nenhum dos quais se espera que diminua tão cedo. Embora tenha havido alguma melhoria na informação que as empresas divulgam desde que as diretrizes da SEC foram originalmente emitidas em 2011, as novas regras irão acrescentar a tão necessária consistência e clareza ao que é comunicado, como é comunicado e quando é comunicado. Os investidores terão agora informações úteis para avaliar a exposição de uma empresa a riscos materiais de cibersegurança e a sua capacidade de gerir incidentes. E estas são certamente notícias bem-vindas.
Para mais informações sobre como simplificar a conformidade, transfere o nosso livro eletrónico, Transforma a conformidade de “Check-the-Box” em “Champione confere o o software de Conformidade da Riskonnect da Riskonnect.
