Las empresas que cotizan en bolsa que sufran un hack significativo deberán divulgar el incidente dentro de los cuatro días hábiles, según las nuevas reglas de la Comisión de Bolsa y Valores.
La SEC votó hoy 3-2 para adoptar las nuevas reglas, que están diseñadas para reforzar la transparencia de los inversores en un momento en que los ataques cibernéticos se han vuelto comunes.
“Actualmente, muchas empresas públicas brindan información sobre seguridad cibernética a los inversionistas”, dijo el presidente de la SEC, Gary Gensler, en el anuncio (Se abre en una ventana nueva). , comparable y útil para la toma de decisiones”.
Específicamente, las empresas deberán divulgar "incidentes de seguridad cibernética materiales que experimenten", lo que significa ataques que cubran una cantidad significativa de dinero o negocios. Además, deberán informar el ataque "cuatro días hábiles" después de que se considere que el incidente es material.
Cuatro días es poco tiempo, pero la SEC dice (Se abre en una ventana nueva) que el plazo es "viable" ya que las empresas solo necesitarán proporcionar los "detalles básicos de identificación del incidente y su impacto material o un impacto material razonablemente probable".
La única excepción son los ataques informáticos que afectan la seguridad nacional. “La divulgación puede retrasarse si el Fiscal General de los Estados Unidos determina que la divulgación inmediata representaría un riesgo sustancial para la seguridad nacional o la seguridad pública y notifica a la Comisión sobre tal determinación por escrito”, dice la SEC.
Si esto ocurre, una empresa podría retrasar el incumplimiento hasta 30 o 60 días. Por lo tanto, si una empresa aún necesita tiempo para parchear una vulnerabilidad de software que facilitó el ataque, teóricamente podría solicitar una extensión.
La otra regla importante promulgada involucra la postura general de seguridad cibernética de una empresa que cotiza en bolsa. La SEC exige a las empresas que describan sus esfuerzos para defenderse de las amenazas cibernéticas y qué tipo de impactos materiales podrían tener los peligros en sus negocios.
Aunque las empresas a menudo informan los incidentes de seguridad cibernética de forma voluntaria, la regla de la SEC promete evitar que las empresas de la industria entierren información sobre hacks menos conocidos. Se espera que las reglas entren en vigor a finales de año.
Amit Yoran, CEO de la empresa de ciberseguridad Tenable, dice que las nuevas reglas deberían impulsar a las empresas a tratar la seguridad de TI como algo "imprescindible", en lugar de simplemente como un lujo. “Este es un paso dramático hacia una mayor transparencia y responsabilidad y mejorará en gran medida nuestra preparación en seguridad cibernética como nación”, dice. “En muchos sentidos, la regla de la SEC regulará lo que las empresas deberían haber implementado en primer lugar: una buena higiene cibernética”.
Add comment
Comments