SEC exige que empresas divulguem ataques cibernéticos sofridos

Importante destacar que atualmente grandes empresas brasileiras têm suas ações listadas nas bolsas norte-americanas, e esse número só vem aumentando ao longo da última década. Além disso, no Brasil temos diversas companhias subsidiárias de empresas que têm ações listadas em Nova Iorque e que, por melhores práticas, alinham suas políticas àquelas adotadas pelas matrizes americanas.

Por tudo isso, essa determinação da SEC demonstra a necessidade de as companhias construírem um Sistema de Gestão da Segurança da Informação cada vez mais robusto. Isso porque, em caso de incidentes cibernéticos reportados, essas empresas estarão à mercê de questionamentos dos investidores e do mercado quanto à capacidade das empresas no gerenciamento de questões relacionadas à segurança cibernética que, caso não demonstrada, pode trazer um risco reputacional e quebra da confiança de investidores.

Entre as competências que podem ser alvo de questionamentos e avaliações dos investidores, destacamos:

• Se a empresa possui um Programa de Segurança da Informação e Segurança Cibernética;
• Se possui riscos cibernéticos devidamente mapeados e se possui um processo de gerenciamento dos riscos atualizados;
• Se possui políticas voltadas à segurança cibernética;
• Quais as medidas de mitigação utilizadas para o monitoramento e a detecção de eventos de segurança;
• Se possui políticas e procedimentos de gerenciamento de incidentes;
• Se possui uma estrutura de Governança de Segurança e Tecnologia da Informação.

A expectativa é que os requisitos de divulgação de incidentes relevantes entrem em vigor a partir do dia 18 de dezembro de 2023. As divulgações atingem todas as entidades registradas na SEC para os exercícios fiscais encerrados em 15 de dezembro de 2023 ou posterior a essa data. No entanto, empresas menores terão 180 dias adicionais antes de serem obrigadas a fornecer as divulgações do Formulário 8-K.

Em relação aos dados da violação de segurança que devem ser divulgados, destaca-se: 

• A data da descoberta da violação e o status atualizado do incidente;
• Breve descrição da natureza da violação e a extensão do incidente;
• Indicação de todos os dados que possam ter sido comprometidos, alterados, acessados ou usados sem autorização;
• Indicação do impacto desta violação nas operações da empresa;
• Informações sobre as ações de mitigação e remediação do incidente, tanto em andamento quanto já concluídas pela empresa.

Com essa nova regulamentação, a SEC busca dar elementos e maior transparência aos investidores na tomada de decisões acerca dos seus investimentos.

Vale destacar que a necessidade de reportes de incidentes não é uma novidade para as empresas brasileiras. Isso porque a própria Lei Geral de Proteção de Dados (LGPD) impõe aos controladores, em seu art. 48, o dever de comunicar aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares. 

As obrigações de reporte, tais como as da SEC e da ANPD, só reforçam a necessidade, cada vez mais latente, de um investimento claro na modernização dos processos de segurança cibernética e na estruturação da governança nas empresas, a fim de manter a transparência aos stakeholders e garantir uma melhoria contínua da gestão estratégica de riscos.