Valorizamos a sua privacidade

Para otimizar a experiência durante a sua navegação em nosso site, fazemos uso de cookies. Ao continuar na nossa plataforma, consideramos que você esteja de acordo com nossa política de cookies. Política de Privacidade.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

Powered by Cookieyes logo
Notícias Corporativas

Cyber Segurança e as novas regras propostas pela SEC (Securities and Exchange)

DINO

A Securities and Exchange Commission (SEC) (Comissão de Valores Mobiliários dos Estados Unidos) emite orientações relacionadas a Cyber Segurança. Desde 2011 orientações interpretativas são divulgadas aos registrantes (empresas listadas), contudo as práticas de divulgação ainda eram inconsistentes.

Com o objetivo de prover orientações mais claras, em 09 de março de 2022, a SEC propôs regras com foco no fortalecimento da postura de segurança cibernética, aplicável a mais de 8.000 registrantes. A proposta foi elaborada de modo a informar melhor os investidores sobre a gestão de risco, estratégia e governança de um registrante e, fornecer notificação oportuna e estruturada, caso haja a ocorrência de incidentes (materiais[1]) de cyber segurança, além de permitir que investidores avaliem sua exposição de maneira adequada.

Resumidamente, a SEC propõe que:

  • Relatórios de incidentes (materiais) de cyber segurança devem ser documentados através do Formulário 8-K (Form 8-K[2]);
  • Os registrantes devem divulgar periodicamente:
    • Políticas e procedimentos para identificar e gerenciar riscos de cyber segurança;
    • Papel da administração na implementação de políticas e procedimentos de cyber segurança;
    • Experiência em cyber segurança do Conselho de Administração, se houver, e como é sua atuação/ supervisão;
    • Atualizações sobre incidentes (materiais) de cyber segurança ocorridos/relatados anteriormente.
  • Divulgações de incidentes de cyber segurança devem ser reportados em formato Inline eXtensible Business Reporting Language (Inline XBRL[3]).

Especificamente sobre a divulgação de novos incidentes (materiais ou não), os seguintes itens foram propostos:

  • Os registrantes devem divulgar informações sobre incidentes (materiais) de cyber segurança sofridos pela organização dentro de um prazo de quatro dias úteis (atualizações foram realizadas no Form 8-K);
  • Os registrantes forneçam atualização sobre incidentes de cyber segurança individualmente imateriais anteriormente não divulgados, os quais tornaram-se materiais no agregado (atualizações foram realizadas no Form 20-F);
  • Inclusão do tema incidente de cyber segurança como um tópico de relatório (atualizações foram realizadas no Form 6-K).

Além de melhor estruturação em relação ao tema de incidentes, a SEC propôs, por parte dos registrantes, a divulgação aprimorada e padronizada sobre gerenciamento, estratégia e governança de riscos de cyber segurança. De modo resumido a proposta apresenta: (atualizações foram realizadas no Form 20-F)

  • Necessidade de descrever suas políticas e procedimentos, se houver, para a identificação e gerenciamento de riscos de ameaças à cyber segurança, incluindo se o registrante considera a cyber segurança como parte de sua estratégia de negócios, planejamento financeiro e alocação de capital. Adicionalmente, divulgar o papel e a experiência do Conselho de Administração em cyber segurança e, a sua atuação na avaliação e gerenciamento de risco de cyber segurança, bem como na implementação das políticas, procedimentos e estratégias de cyber segurança;
  • Exige divulgação, através de relatórios anuais, em relação a experiência em cyber segurança dos membros do conselho.

Por fim, em sua maioria, seus registrantes são grandes corporações que nos últimos anos, tem criado e implementado controles de cyber segurança em suas operações, os quais são exigidos por regulamentações do próprio mercado (BC4893), leis nacionais (LGPD) e internacionais (GDPR), frameworks e boas práticas (SANS, NIST), e até mesmo pressão do próprio mercado no sentido de ter uma vantagem competitiva ao obter um selo ou certificação relacionado ao tema, como por exemplo, um ISO 27001.

É evidente que tal proposta realizada pela SEC junto a seus registrantes tem por objetivo: estruturar e padronizar a divulgação de incidentes de cyber segurança, mapear o programa de cyber segurança e identificar o nível de conhecimento do Conselho de Administração junto ao tema central da proposta (conscientização em cyber segurança).

Certamente todos os atores envolvidos somente têm benefícios a colher, uma vez que tais iniciativas fomentarão uma maior maturidade em cyber segurança dos registrantes e apresentarão maior transparência e conhecimento em relacao ao tema, para seus investidores.

[1] O que define a materialidade de um incidente de cyber segurança? As registrantes devem desenvolver protocolos internos, de modo a determinar de modo objetivo a materialidade do incidente. A SEC recomenda que fatores quantitativos e qualitativos sejam considerados, com base na natureza, extensão e magnitude potencial de dano de um incidente. Adicionalmente, uma avaliação dos custos associados a um incidente, se estes ultrapassam um determinado limite financeiro em referência aos ativos gerais, patrimônio, receita ou lucro líquido da empresa, ou analisar o impacto do incidente tem ou pode ter na estratégia de negócios, perspectivas financeiras e planejamento financeiro.

[2] Formulário 8-K (Form 8-K) é um formulário muito amplo e um dos mais utilizados na notificação de fato relevantes aos investidores, oriundos de eventos específicos que podem ser importantes para os acionistas ou para a SEC.

[3] Inline XBRL é linguagem de dados estruturada que permite que um único documento seja legível por humanos e/ ou computadores.

Referências:

https://www.sec.gov/files/33-11038-fact-sheet.pdf

https://www.sec.gov/rules/proposed/2022/33-11038.pdf

Você pode gostar também

Movimento Bem Maior recebe homenagem da BrazilFoundation

DINO

A importância da telemedicina para a Ortopedia

DINO

Como a nova economia pode promover a inclusão dos “noholders”

DINO