La Securities and Exchange Commission (SEC) ha publicado recientemente nuevas orientaciones destinadas a ayudar a las empresas que cotizan en bolsa a cumplir su norma de divulgación sobre ciberseguridad. Esta norma, finalizada en julio de 2023, obliga a las empresas estadounidenses que cotizan en bolsa a informar de incidentes importantes de ciberseguridad en un plazo de cuatro días. También exige la divulgación anual de las estrategias de gestión de riesgos y las estructuras de gobernanza relacionadas con la ciberseguridad. 

Las nuevas directrices de la SEC, publicadas el 24 de junio de 2024, proporcionan cinco interpretaciones de cumplimiento y divulgación (C&DI) que aclaran cómo las empresas deben evaluar y divulgar los eventos materiales de ciberseguridad. Estas directrices subrayan la importancia de llevar a cabo evaluaciones exhaustivas de materialidad para todos los incidentes de ciberseguridad, independientemente de su impacto financiero inmediato. 

Una de las principales conclusiones de las directrices de la SEC es que las empresas deben determinar la importancia de un incidente de ciberseguridad, incluso si el incidente se resuelve rápidamente o si el pago de un rescate está cubierto por un seguro. Las directrices también señalan que los pequeños incidentes, cuando se consideran en conjunto, pueden considerarse importantes si están relacionados o explotan la misma vulnerabilidad. 

Las evaluaciones de materialidad son cruciales para determinar si un incidente de ciberseguridad debe revelarse a los inversores. La SEC hace hincapié en que estas evaluaciones deben llevarse a cabo después de cada incidente cibernético, con la participación de asesores de valores externos y consejos de administración. De este modo se garantiza que las empresas cumplan con sus responsabilidades de divulgación en virtud de la norma de la SEC. 

Para las empresas, estas orientaciones ponen de relieve la necesidad de contar con procesos sólidos de evaluación de la materialidad como parte de su estrategia general de sostenibilidad y ASG. También refuerza la importancia de una gestión proactiva de los riesgos de ciberseguridad para mitigar los posibles impactos financieros y de reputación. 

Con la creciente atención de la SEC a la divulgación de información sobre ciberseguridad, las empresas públicas deben dar prioridad a las evaluaciones de materialidad para garantizar el cumplimiento y la transparencia en sus prácticas de información. 

Fuentes: 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html