Las empresas públicas de Estados Unidos y extranjeras, con presencia en su mercado de capital, deberán declarar: amenazas y ciberataques, impacto y acciones.
La Comisión de Bolsa y Valores de Estados Unidos (SEC por sus siglas en inglés) aprobó nuevas reglas sobre la divulgación de incidentes de seguridad cibernética.
Además, propuso una regulación para asesores de inversiones y agentes de bolsa para abordar los conflictos de interés por el uso de análisis predictivos e inteligencia artificial, para evitar que antepongan sus intereses al de los inversionistas.
Con una votación de 3 a 2, la nueva norma en ciberseguridad será obligatoria para empresas públicas de Estados Unidos, como a cualquier empresa extraterritorial que califique como un “emisor privado extranjero”, es decir, que tenga una fuerte conexión con los mercados de capital de este país.
La regla entrará en vigor a partir del 18 de diciembre próximo.
Con ello, las firmas quedan obligadas a divulgar información importante sobre su gestión, estrategia y gobierno de riesgos de seguridad cibernética.
En palabras del presidente de la SEC, Gary Gensler: “Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de seguridad cibernética, puede ser importante para los inversores. Tanto, las empresas como los inversionistas se beneficiarían de la divulgación (de los ataques), sí se hace de manera más consistente, comparable y útil para la toma de decisiones”.
Con estas modificaciones, la Bolsa de Estados Unidos requerirá la divulgación de incidentes de cibernéticos importantes, dentro de los cuatro días hábiles posteriores.
El reporte deberá incluir: los aspectos materiales del evento, su naturaleza, alcance y momento del incidente. También describirán sus procesos para evaluar, identificar y gestionar los riesgos materiales de las amenazas a la seguridad cibernética.
Así como, los efectos materiales o probables de los riesgos de ciberseguridad, incidentes o amenazas previas.