La Comisión de Valores y Bolsa (SEC) da un paso audaz para proteger a los inversores en un entorno digital en constante evolución al implementar nuevas reglas de divulgación de ciberseguridad. El Director Erik Gerding arroja luz sobre la lógica, la mecánica y la importancia de estas reglas, haciendo hincapié en la necesidad de información oportuna, consistente y comparable.

En respuesta a la creciente amenaza de incidentes de ciberseguridad, la SEC, bajo la dirección del Director Erik Gerding, ha promulgado reglas pioneras de divulgación para las empresas públicas. Gerding aclara que estas reglas tienen como objetivo proporcionar a los inversores información esencial para evaluar riesgos y tomar decisiones informadas.

1. Resumen de la Regla y su Lógica: La División de Finanzas Corporativas de la SEC reconoce la evolución de los riesgos de ciberseguridad y la necesidad imperativa de divulgaciones mejoradas. Las reglas se centran en incidentes de ciberseguridad materiales y en la presentación anual de informes sobre gestión de riesgos, estrategia y gobernanza. Gerding enfatiza la flexibilidad otorgada a las empresas para abordar estos riesgos, al tiempo que satisface la demanda de información coherente y comparable por parte de los inversores.

2. Provisión de Divulgación de Incidentes de Ciberseguridad: Gerding desarrolla los requisitos de divulgación para incidentes materiales de ciberseguridad, abordando qué, cuándo y por qué. Las reglas exigen la divulgación en cuatro días hábiles después de determinar la materialidad, logrando un equilibrio entre proporcionar información y resguardar a las empresas contra posibles amenazas. El uso de un estándar de materialidad se alinea con los principios de larga data de las leyes de valores, conectando las divulgaciones con las necesidades de los inversores.

3. Provisión de Retraso por Motivos de Seguridad Nacional y Seguridad Pública: Reconociendo la necesidad de un enfoque flexible, la SEC introduce una disposición que permite la presentación de informes demorada para incidentes que representen riesgos sustanciales para la seguridad nacional o pública. Gerding enfatiza que las consultas con agencias de aplicación de la ley no califican automáticamente un incidente como material, reforzando la importancia de una evaluación integral basada en todos los hechos relevantes.

4. Provisión de Divulgación de Gestión de Riesgos, Estrategia y Gobernanza: Las divulgaciones anuales sobre la gestión de riesgos de ciberseguridad se simplifican, abordando preocupaciones sobre posibles presiones sobre las empresas. La regla final se centra en el papel de la gerencia, la experiencia relevante y la supervisión de la junta sin ser excesivamente detallada. El objetivo es evitar consecuencias no deseadas mientras se garantiza la transparencia.

5. Próximos Pasos: A medida que las reglas entran en vigencia, Gerding fomenta la comunicación abierta con la División de Finanzas Corporativas de la SEC. Asegura a las empresas que el enfoque está en obtener divulgaciones significativas y adaptadas, más que agregar a las listas de verificación de cumplimiento. La SEC reconoce la naturaleza dinámica de los riesgos emergentes y busca fomentar la protección del inversor y la formación de capital en la era digital.

Las reglas de divulgación de ciberseguridad de la SEC marcan un momento crucial para adaptarse al cambiante panorama de amenazas digitales. Las percepciones del Director Gerding proporcionan claridad sobre las intenciones detrás de estas reglas, haciendo hincapié en el compromiso de la SEC con la protección del inversor y la facilitación de la toma de decisiones informada en un entorno tecnológico en rápida evolución.