El 24 de junio de 2024, la División de Finanzas Corporativas de la SEC emitió cinco nuevas Interpretaciones de Cumplimiento y Divulgación (C&DIs) para aclarar la información sobre incidentes de ciberseguridad bajo el Artículo 1.05 del Formulario 8-K, abordando específicamente situaciones que involucran pagos de ransomware. Estas actualizaciones siguen las recientes orientaciones del Director de Finanzas Corporativas, Erik Gerding, sobre la divulgación de información relativa a la ciberseguridad. El punto 1.05 del Formulario 8-K, adoptado el 26 de julio de 2023, requiere que las empresas públicas revelen los incidentes materiales de ciberseguridad dentro de los cuatro días siguientes a la determinación de la materialidad del incidente, detallando la naturaleza, el alcance, el momento y el impacto en la situación financiera y las operaciones de la empresa. Las empresas deben evaluar con prontitud la importancia de los incidentes y modificar la información divulgada si surge nueva información material. 

Los nuevos C&DIs enfatizan que las empresas deben evaluar la materialidad de un ataque de ransomware incluso si un pago resuelve el incidente antes de hacer esta determinación. El cese del incidente debido a un pago no exime a las empresas de esta obligación. Si un ataque de ransomware se considera material, las empresas deben informarlo en virtud del punto 1.05 del formulario 8-K, independientemente de si un pago pone fin al incidente antes de la fecha límite de presentación. Además, la existencia de un seguro cibernético que cubra el pago del rescate no convierte automáticamente el incidente en inmaterial. El tamaño del pago del ransomware por sí solo no es determinante de la materialidad; las empresas deben considerar todos los factores cuantitativos y cualitativos pertinentes, incluido el impacto más amplio en las operaciones, las finanzas y la reputación. Además, si una empresa experimenta múltiples incidentes de ciberseguridad relacionados que individualmente son inmateriales, debe evaluar si estos incidentes colectivamente equivalen a un evento material. 

Las orientaciones del Director Gerding destacan que sólo los incidentes materiales de ciberseguridad deben revelarse en el punto 1.05. Para las divulgaciones voluntarias de incidentes no materiales, las empresas deben utilizar un elemento diferente del Formulario 8-K, como el elemento 8.01, para evitar la confusión de los inversores. Las empresas deben tener en cuenta tanto los impactos cuantitativos, como las pérdidas financieras, como los impactos cualitativos, como el daño a la reputación y la confianza del cliente, en sus evaluaciones de materialidad. Este enfoque integral garantiza que los inversores reciban información clara y precisa, en consonancia con el énfasis de la SEC en una sólida gestión de los riesgos de ciberseguridad y la transparencia en las divulgaciones relacionadas con ESG. 

Fuentes: 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/