SEC AGORA EXIGE QUE EMPRESAS DIVULGUEM ATAQUES CIBERNÉTICOS EM 4 DIAS

 

A Comissão de Valores Mobiliários dos EUA adotou novas regras exigindo que as empresas de capital aberto divulguem ataques cibernéticos dentro de quatro dias úteis após determinar que são incidentes materiais.

De acordo com o cão de guarda de Wall Street, os incidentes materiais são aqueles que os acionistas de uma empresa de capital aberto considerariam importantes "na tomada de uma decisão de investimento".

A SEC também adotou novos regulamentos que obrigam os emissores privados estrangeiros a fornecer divulgações equivalentes após violações de segurança cibernética.

"Se uma empresa perde uma fábrica em um incêndio - ou milhões de arquivos em um incidente de segurança cibernética - pode ser importante para os investidores. Atualmente, muitas empresas públicas fornecem divulgação de segurança cibernética aos investidores", disse o presidente da SEC, Gary Gensler, hoje.

"Acho que empresas e investidores, no entanto, se beneficiariam se essa divulgação fosse feita de maneira mais consistente, comparável e útil para decisões. Ao ajudar a garantir que as empresas divulguem informações relevantes sobre segurança cibernética, as regras de hoje beneficiarão investidores, empresas e os mercados que os conectam."

As empresas listadas agora devem incluir detalhes sobre o ataque cibernético (incluindo a natureza, o escopo e o momento do incidente) em relatórios periódicos, especificamente em formulários 8-K.

Essas novas regras de relatórios de incidentes de segurança cibernética devem entrar em vigor em dezembro ou 30 dias após serem publicadas no Federal Register.

No entanto, empresas menores terão 180 dias adicionais antes de serem obrigadas a fornecer as divulgações do Formulário 8-K.

Em alguns casos, o cronograma de divulgação também pode ser adiado se o procurador-geral dos EUA determinar que uma divulgação imediata representaria um risco significativo para a segurança nacional ou pública.

Divulgações oportunas projetadas para aumentar a transparência

O anúncio de hoje segue os planos de adoção dessas novas regras reveladas pela SEC há mais de um ano, em março de 2022.

As novas regras (PDF) fornecem aos investidores notificações imediatas sobre incidentes de segurança que afetam as empresas listadas, melhorando sua compreensão da gestão e estratégia de riscos de segurança cibernética.

Eles exigem a divulgação das seguintes informações relacionadas à violação (desde que estejam disponíveis no momento do preenchimento do Formulário 8-K):

A data da descoberta e o status do incidente (em andamento ou resolvido).

Uma descrição concisa da natureza e extensão do incidente.

Quaisquer dados que possam ter sido comprometidos, alterados, acessados ​​ou usados ​​sem autorização.

O impacto do incidente nas operações da empresa.

Informações sobre os esforços de remediação em andamento ou concluídos pela empresa.

No entanto, não se espera que as empresas afetadas divulguem especificações técnicas de seus planos de resposta a incidentes ou detalhes sobre possíveis vulnerabilidades que possam influenciar sua resposta ou ações de correção.

De acordo com Lesley Ritter, vice-presidente sênior da Moody's Investors Service, as novas regras aumentarão a transparência, mas provavelmente serão desafiadoras para empresas menores.

“As regras de divulgação de segurança cibernética adotadas pela Comissão de Valores Mobiliários dos EUA hoje fornecerão mais transparência em um risco opaco, mas crescente, além de mais consistência e previsibilidade”, disse Ritter ao BleepingComputer.

“O aumento da divulgação deve ajudar as empresas a comparar práticas e pode estimular melhorias nas defesas cibernéticas, mas atender aos novos padrões de divulgação pode ser um desafio maior para empresas menores com recursos limitados”.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/sec-now-requires-companies-to-disclose-cyberattacks-in-4-days/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #sec #agora #exige #que #empresas #divulguem #ataques #cibernéticos #em #4 #dias