EE. UU. obligará a empresas públicas a notificar incidentes de ciberseguridad

La Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) de Estados Unidos adoptó nuevas reglas que ordenan que las organizaciones y empresas reguladas divulguen los incidentes de seguridad cibernética que experimentan y difundan anualmente información importante sobre su gestión, estrategia y gobierno de riesgos de ciberseguridad.

Las nuevas reglas requerirán que las entidades registradas divulguen en el nuevo ítem 1.05 del Formulario 8-K cualquier incidente de ciberseguridad que determinen como material y que describan los aspectos materiales de la naturaleza, el alcance y monitoreo del incidente, así como su impacto material o impacto material razonable en el registrante.

La SEC también adoptó reglas que requieren que los emisores privados extranjeros hagan divulgaciones comparables en el Formulario 6-K para incidentes de ciberseguridad materiales y en el Formulario 20-F para gestión de riesgos, estrategia y gobierno de ciberseguridad.

También lee: Ransomware es el mayor incidente de ciberseguridad en la región y sigue en crecimiento

“Ya sea que una empresa pierda una fábrica en un incendio o millones de archivos en un incidente de seguridad cibernética, puede ser importante para los inversores”, dijo el presidente de la SEC, Gary Gensler.

“Actualmente, muchas empresas públicas brindan información sobre seguridad cibernética a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más consistente, comparable y útil para la toma de decisiones”, agregó.

“Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las reglas adoptadas hoy beneficiarán a los inversores, las empresas y los mercados que los conectan”, finalizó.

Las reglas finales entrarán en vigor 30 días después de la publicación del comunicado de adopción en el Registro Federal.