A segurança cibernética tem se tornado cada vez mais crítica. Recentemente, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) aprovou novas regras relacionadas ao gerenciamento de riscos cibernéticos e aos requisitos de divulgação para empresas de capital aberto.
Essas diretrizes representam um passo importante para o aprimoramento da transparência e do gerenciamento de riscos cibernéticos. Pode-se dizer que a regulamentação mudará a maneira como o tema é gerenciado.
As novas regras da SEC introduzem requisitos em três temas principais:
1. Preparação e Divulgação de Informações sobre Incidentes Cibernéticos
Uma das principais mudanças é a exigência de que as empresas divulguem informações sobre incidentes cibernéticos materiais, dentro de um período de quatro dias úteis após a determinação da materialidade do incidente cibernético.
Para atender a essa exigência, é preciso que exista uma capacidade de resposta rápida e eficiente por parte das empresas, pois os incidentes podem impactar as operações, além da reputação da empresa.
2. Gerenciamento de Riscos de Segurança Cibernética
As empresas agora precisarão fazer divulgações relacionadas às suas práticas de gerenciamento de riscos de segurança cibernética. Isso inclui, por exemplo, um programa de avaliação de riscos, com processos para analisar, identificar e gerenciar as ameaças de segurança cibernética.
Abrange ainda, entre outros fatores, a supervisão dos prestadores de serviços terceirizados e medidas para prevenção, detecção e mitigação de incidentes (com descrição das atividades que abordam incidentes cibernéticos, incluindo planos de continuidade de negócios, contingências, recuperação, testes e simulações).
3. Governança e Supervisão da Segurança Cibernética
As empresas registradas na SEC devem fornecer divulgações relacionadas à governança e supervisão de segurança cibernética, considerando fatores como a supervisão do conselho em relação aos riscos e a função da administração na avaliação e no gerenciamento desses riscos.