Como parte de su misión de proteger a los inversores y mantener unos mercados eficientes, la Comisión del Mercado de Valores de EE.UU. (SEC) publicó el 26 de julio de 2023 un nuevo conjunto de normas definitivas[1] que cambian la forma en que las empresas que cotizan en bolsa en EE.UU. deben revelar información sobre riesgos, gobernanza e incidentes de ciberseguridad.
En concreto, las nuevas normas exigen «la divulgación de los incidentes importantes de ciberseguridad en el Formulario 8-K y la divulgación periódica de la gestión, estrategia y gobernanza de los riesgos de ciberseguridad de un registrante en los informes anuales»[2]. Las normas definitivas tienen por objeto proporcionar a los inversores la información oportuna, coherente, comparable y útil para la toma de decisiones que necesitan para tomar decisiones de inversión y voto con conocimiento de causa[3].
Estas nuevas normas entraron en vigor el 5 de septiembre de 2023. Los requisitos de información comenzaron el 18 de diciembre de 2023. Las empresas declarantes más pequeñas dispusieron de 180 días más para cumplirlas.
La necesidad de nuevas normas de divulgación sobre ciberseguridad
El 14 de diciembre de 2023, Erik Gerding, Director de la División de Finanzas Corporativas de la Comisión del Mercado de Valores, pronunció un discurso sobre las normas definitivas de la SEC, en el que señaló que «los actores de amenazas ejecutaron repetidamente y con éxito ataques contra empresas de alto perfil en múltiples industrias críticas en el transcurso de 2022 y el primer trimestre de 2023, lo que provocó que la Junta de Revisión de Ciberseguridad del Departamento de Seguridad Nacional iniciara múltiples investigaciones»[4].
La SEC observó que el coste de los incidentes de ciberseguridad para las empresas y sus inversores ha ido en aumento. Esto también se reflejó en el estudio anual de Sophos sobre las experiencias reales de ransomware de organizaciones de 15 sectores de todo el mundo, titulado «Sophos 2024 State of Ransomware[5]».
Según este informe, el 59% de las organizaciones se vieron afectadas por ransomware el año pasado. La incesante incidencia de ataques de ransomware en organizaciones de todos los tamaños supone millones de dólares en costes para recuperarse de los ataques y remediarlos. El coste medio para recuperarse de un ataque de ransomware en 2024 aumentó a 2,73 millones de dólares desde los 1,82 millones de dólares en 2023. Esto subraya la acuciante necesidad de medidas sólidas de ciberseguridad en todos los sectores y también pone de relieve la necesidad de mejorar la divulgación[6].
Por estas razones, la SEC ha introducido nuevas normas que informarán a los inversores sobre los ataques de ciberseguridad a empresas que cotizan en bolsa y ofrecerán información sobre cómo gestionan las empresas los riesgos cibernéticos. Con ello se pretende fomentar la transparencia y reforzar la gestión global del riesgo.
Los nuevos requisitos de divulgación de la SEC
La norma final tiene dos requisitos fundamentales:
a) Las empresas que cotizan en bolsa deben revelar los incidentes materiales de ciberseguridad cuatro (4) días hábiles después de haber determinado que el incidente es material[7].
-
Requiere que las empresas que cotizan en bolsa revelen la existencia de un incidente relevante de ciberseguridad en el nuevo punto 1.05 del Formulario 8-K y describan los aspectos materiales de la naturaleza, el alcance y el momento del incidente, así como el impacto material o el impacto material razonablemente probable del incidente en la empresa, incluida su situación financiera y los resultados de sus operaciones.
-
Las empresas que cotizan en bolsa deben proporcionar la divulgación de incidentes de ciberseguridad requerida en el plazo de cuatro (4) días hábiles después de que la empresa determine que el incidente es relevante. El plazo no es de cuatro días hábiles después de que se haya producido o descubierto el incidente. Este plazo reconoce que, en muchos casos, una empresa no podrá determinar la importnacia el mismo día en que se descubra el incidente.
b) Las empresas que cotizan en bolsa deben divulgar anualmente información en su Formulario 10-K sobre la gestión de riesgos de ciberseguridad, estrategia y gobernanza[8].
-
Obliga a las empresas que cotizan en bolsa a revelar anualmente en su Formulario 10-K, en el punto 106, información sobre su gestión, estrategia y gobernanza en materia de riesgos de ciberseguridad.
-
La norma final exige que las empresas que cotizan en bolsa describan sus procesos de gestión para evaluar y gestionar los riesgos derivados de las amenazas a la ciberseguridad, incluyendo, según proceda, si los cargos o comités de gestión son responsables de las amenazas a la ciberseguridad y cuáles son, así como su experiencia pertinente.
El requisito de divulgación de la norma final relativo al consejo se centra en la descripción de la supervisión por parte del consejo de los riesgos derivados de las amenazas a la ciberseguridad y, si procede, la identificación de cualquier comité o subcomité pertinente del consejo y la descripción de cómo se informa al consejo o a dicho comité de tales riesgos. La norma final también establece requisitos para la divulgación por parte de emisores privados extranjeros[9] y el etiquetado de nuevas divulgaciones como datos estructurados en línea[10].
Fechas específicas de cumplimiento
Con respecto al punto 106 del Reglamento S-K y al punto 16K del Formulario 20-F, todos los solicitantes de registro deben proporcionar dichas divulgaciones a partir de los informes anuales de los ejercicios fiscales que finalicen el 15 de diciembre de 2023 o después. Con respecto al cumplimiento de los requisitos de divulgación de incidentes del punto 1.05 del Formulario 8-K y del Formulario 6-K, todos los registrantes que no sean pequeñas empresas declarantes deberán empezar a cumplirlos a partir del 18 de diciembre de 2023[11].
A las empresas declarantes más pequeñas (aquellas con menos de 250 millones de dólares en acciones propiedad de inversores públicos, o aquellas con menos de 100 millones de dólares de ingresos anuales y menos de 700 millones de dólares en acciones propiedad de inversores públicos) se les concede un plazo adicional de 180 días a partir de la fecha de cumplimiento de las empresas declarantes no más pequeñas, antes de que deban empezar a cumplir el Artículo 1.05 del Formulario 8-K, el 15 de junio de 2024[12].
El coste del incumplimiento
Aunque la SEC aún no ha esbozado las sanciones precisas por infringir las nuevas normas, sus poderes de ejecución son de gran alcance. Las multas podrían llegar hasta los 25 millones de dólares, junto con otras medidas disuasorias como órdenes de cese o suspensión de los privilegios de negociación. Aún más preocupante es la mayor probabilidad de que los inversores o las partes interesadas interpongan demandas si las empresas no revelan los sucesos importantes relacionados con la ciberseguridad. Las normas de la SEC proporcionan una base sólida para que los inversores activistas desafíen a las empresas que incumplen sus obligaciones[13].
¿Cómo puede ayudar Sophos?
Mientras tu empresa que cotiza en bolsa se prepara para cumplir la nueva normativa de la SEC, tu primer paso debe ser realizar una evaluación exhaustiva de los riesgos de ciberseguridad de tu entorno informático, establecer planes exhaustivos de respuesta a incidentes y desplegar soluciones y herramientas que ofrezcan una visibilidad completa y detallada de todo el estado e informes exhaustivos de forma precisa y puntual.
La cartera de servicios y soluciones de seguridad gestionada de Sophos (incluidos Sophos MDR, Sophos Intercept X, Sophos XDR y Sophos Firewall) forman parte del ecosistema de ciberseguridad adaptable de Sophos, donde comparten información sobre amenazas en tiempo real para una protección, detección y respuesta más rápidas, contextuales y sincronizadas.
Estos productos están impulsados por la información sobre amenazas de Sophos X-Ops, un grupo de trabajo interoperativo de más de 500 expertos en seguridad dentro de SophosLabs, Sophos SecOps y SophosAI. Las soluciones se gestionan fácilmente en la plataforma nativa en la nube Sophos Central, donde los usuarios pueden obtener información sobre su postura de seguridad, investigaciones de seguridad y ciberamenazas con informes semanales y mensuales, alertas en tiempo real y una gestión sencilla mediante una interfaz única e intuitiva.
Sophos dispone de varios recursos para ayudarte a protegerte contra el ransomware. Aquí encontrarás consejos sobre prácticas recomendadas, un conjunto de herramientas contra el ransomware, un enlace a nuestros servicios de respuesta a incidentes y enlaces a varios de nuestros informes relacionados con el ransomware. También encontrarás consejos específicos sobre cómo configurar los productos de Sophos para evitar el ransomware.
Para saber más sobre las intuitivas soluciones de seguridad de Sophos, habla con un asesor de Sophos o con tu partner de Sophos hoy mismo, o visita el sitio web de Sophos.
[1] https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
[2] https://www.sec.gov/files/33-11216-fact-sheet.pdf; véase también, https://www.sec.gov/newsroom/press-releases/2023-13
[3] https://www.paulhastings.com/insights/ph-privacy/sec-speech-on-cybersecurity-disclosure#:~:text=The%20two%2Dpronged%20approach%20of,disclosure%20of%20a%20public%20company
[4] https://www.sec.gov/newsroom/speeches-statements/gerding-cybersecurity-disclosure-20231214#_ftn1
[5] https://assets.sophos.com/X24WTUEQ/at/9brgj5n44hqvgsp5f5bqcps/sophos-state-of-ransomware-2024-wp.pdf
[6] Id.
[7] https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure en §§ II.A.3, Apéndices B y C.
[8] Id. en §§ II.C.1.c, II.C.2.c, II.C.3.c, Apéndice D.
[9] Id. en §§ II.E.
[10] Id. en §§ II.E.
[11] ver https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure
[12] https://www.sec.gov/files/rules/final/2023/33-11216.pdf
[13] https://www.thomsonreuters.com/en-us/posts/investigation-fraud-and-risk/cybersecurity-disclosure-rules/
