A Securities and Exchange Commission (SEC) (Comissão de Valores Mobiliários dos Estados Unidos) emite orientações relacionadas a Cyber Segurança. Desde 2011 orientações interpretativas são divulgadas aos registrantes (empresas listadas), contudo as práticas de divulgação ainda eram inconsistentes.
Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada de modo a informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes (materiais[1]) de cyber segurança, além de permitir que investidores avaliem sua exposição de maneira adequada.
Resumidamente, a SEC propõe que:
- Relatórios de incidentes (materiais) de cyber segurança devem ser documentados através do Formulário 8-K (Form 8-K[2]);
- Os registrantes devem divulgar periodicamente:
- Políticas e procedimentos para identificar e gerenciar riscos de cyber segurança;
- Papel da administração na implementação de políticas e procedimentos de cyber segurança;
- Experiência em cyber segurança do Conselho de Administração, se houver, e como é sua atuação/ supervisão;
- Atualizações sobre incidentes (materiais) de cyber segurança ocorridos/relatados anteriormente.
- Divulgações de incidentes de cyber segurança devem ser reportados em formato Inline eXtensible Business Reporting Language (Inline XBRL[3]).
Especificamente sobre a divulgação de novos incidentes (materiais ou não), os seguintes itens foram propostos:
- Os registrantes devem divulgar informações sobre incidentes (materiais) de cyber segurança sofridos pela organização dentro de um prazo de quatro dias úteis (atualizações foram realizadas no Form 8-K);
- Os registrantes forneçam atualização sobre incidentes de cyber segurança individualmente imateriais anteriormente não divulgados, os quais tornaram-se materiais no agregado (atualizações foram realizadas no Form 20-F);
- Inclusão do tema incidente de cyber segurança como um tópico de relatório (atualizações foram realizadas no Form 6-K).
Além de melhor estruturação em relação ao tema de incidentes, a SEC propôs, por parte dos registrantes, a divulgação aprimorada e padronizada sobre gerenciamento, estratégia e governança de riscos de cyber segurança. De modo resumido a proposta apresenta: (atualizações foram realizadas no Form 20-F)
- Necessidade de descrever suas políticas e procedimentos, se houver, para a identificação e gerenciamento de riscos de ameaças à cyber segurança, incluindo se o registrante considera a cyber segurança como parte de sua estratégia de negócios, planejamento financeiro e alocação de capital. Adicionalmente, divulgar o papel e a experiência do Conselho de Administração em cyber segurança e, a sua atuação na avaliação e gerenciamento de risco de cyber segurança, bem como na implementação das políticas, procedimentos e estratégias de cyber segurança;
- Exige divulgação, através de relatórios anuais, em relação a experiência em cyber segurança dos membros do conselho.
Por fim, em sua maioria, seus registrantes são grandes corporações que nos últimos anos, tem criado e implementado controles de cyber segurança em suas operações, os quais são exigidos por regulamentações do próprio mercado (BC4893), leis nacionais (LGPD) e internacionais (GDPR), frameworks e boas práticas (SANS, NIST), e até mesmo pressão do próprio mercado no sentido de ter uma vantagem competitiva ao obter um selo ou certificação relacionado ao tema, como por exemplo, um ISO 27001.
É evidente que tal proposta realizada pela SEC junto a seus registrantes tem por objetivo: estruturar e padronizar a divulgação de incidentes de cyber segurança, mapear o programa de cyber segurança e identificar o nível de conhecimento do Conselho de Administração junto ao tema central da proposta (conscientização em cyber segurança).
Certamente todos os atores envolvidos somente têm benefícios a colher, uma vez que tais iniciativas fomentarão uma maior maturidade em cyber segurança dos registrantes e apresentarão maior transparência e conhecimento em relacao ao tema, para seus investidores.
[1] O que define a materialidade de um incidente de cyber segurança? As registrantes devem desenvolver protocolos internos, de modo a determinar de modo objetivo a materialidade do incidente. A SEC recomenda que fatores quantitativos e qualitativos sejam considerados, com base na natureza, extensão e magnitude potencial de dano de um incidente. Adicionalmente, uma avaliação dos custos associados a um incidente, se estes ultrapassam um determinado limite financeiro em referência aos ativos gerais, patrimônio, receita ou lucro líquido da empresa, ou analisar o impacto do incidente tem ou pode ter na estratégia de negócios, perspectivas financeiras e planejamento financeiro.
[2] Formulário 8-K (Form 8-K) é um formulário muito amplo e um dos mais utilizados na notificação de fato relevantes aos investidores, oriundos de eventos específicos que podem ser importantes para os acionistas ou para a SEC.
[3] Inline XBRL é linguagem de dados estruturada que permite que um único documento seja legível por humanos e/ ou computadores.
Referências:
https://www.sec.gov/files/33-11038-fact-sheet.pdf
https://www.sec.gov/rules/proposed/2022/33-11038.pdf
