INSIGHTS

SEC exige que empresas divulguem ataques cibernéticos sofridos

insight featured image
No final do mês de julho deste ano, a Securities and Exchange Commission (SEC), agência reguladora que controla o mercado de capitais nos Estados Unidos, adotou novas regras que exigem que as empresas de capital aberto listadas na bolsa norte-americana divulguem ataques cibernéticos no prazo de quatro dias úteis, quando for caracterizado que os incidentes são relevantes, ou seja, quando forem considerados importantes na tomada de uma decisão de investimento.

Importante destacar que atualmente grandes empresas brasileiras têm suas ações listadas nas bolsas norte-americanas, e esse número só vem aumentando ao longo da última década. Além disso, no Brasil temos diversas companhias subsidiárias de empresas que têm ações listadas em Nova Iorque e que, por melhores práticas, alinham suas políticas àquelas adotadas pelas matrizes americanas.

Por tudo isso, essa determinação da SEC demonstra a necessidade de as companhias construírem um Sistema de Gestão da Segurança da Informação cada vez mais robusto. Isso porque, em caso de incidentes cibernéticos reportados, essas empresas estarão à mercê de questionamentos dos investidores e do mercado quanto à capacidade das empresas no gerenciamento de questões relacionadas à segurança cibernética que, caso não demonstrada, pode trazer um risco reputacional e quebra da confiança de investidores.

Entre as competências que podem ser alvo de questionamentos e avaliações dos investidores, destacamos:

  • Se a empresa possui um Programa de Segurança da Informação e Segurança Cibernética;
  • Se possui riscos cibernéticos devidamente mapeados e se possui um processo de gerenciamento dos riscos atualizados;
  • Se possui políticas voltadas à segurança cibernética;
  • Quais as medidas de mitigação utilizadas para o monitoramento e a detecção de eventos de segurança;
  • Se possui políticas e procedimentos de gerenciamento de incidentes;
  • Se possui uma estrutura de Governança de Segurança e Tecnologia da Informação.

A expectativa é que os requisitos de divulgação de incidentes relevantes entrem em vigor a partir do dia 18 de dezembro de 2023. As divulgações atingem todas as entidades registradas na SEC para os exercícios fiscais encerrados em 15 de dezembro de 2023 ou posterior a essa data. No entanto, empresas menores terão 180 dias adicionais antes de serem obrigadas a fornecer as divulgações do Formulário 8-K.

Em relação aos dados da violação de segurança que devem ser divulgados, destaca-se: 

  • A data da descoberta da violação e o status atualizado do incidente;
  • Breve descrição da natureza da violação e a extensão do incidente;
  • Indicação de todos os dados que possam ter sido comprometidos, alterados, acessados ou usados sem autorização;
  • Indicação do impacto desta violação nas operações da empresa;
  • Informações sobre as ações de mitigação e remediação do incidente, tanto em andamento quanto já concluídas pela empresa.

Com essa nova regulamentação, a SEC busca dar elementos e maior transparência aos investidores na tomada de decisões acerca dos seus investimentos.

Vale destacar que a necessidade de reportes de incidentes não é uma novidade para as empresas brasileiras. Isso porque a própria Lei Geral de Proteção de Dados (LGPD) impõe aos controladores, em seu art. 48, o dever de comunicar aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidentes que possam causar riscos ou danos relevantes aos titulares. 

As obrigações de reporte, tais como as da SEC e da ANPD, só reforçam a necessidade, cada vez mais latente, de um investimento claro na modernização dos processos de segurança cibernética e na estruturação da governança nas empresas, a fim de manter a transparência aos stakeholders e garantir uma melhoria contínua da gestão estratégica de riscos.

CTA Solicite uma proposta