No início deste verão, a Securities and Exchange Commission (SEC) publicou novas orientações destinadas a ajudar as empresas públicas a cumprir a regra que finalizou no ano passado, exigindo a divulgação de eventos de cibersegurança materiais aos investidores. Aqui está o que os profissionais de risco de empresas públicas precisam de saber sobre as novas orientações.
Cinco perguntas hipotéticas
Em julho de 2023, a Securities and Exchange Commission (SEC) finalizou sua regra sobre gerenciamento de riscos de segurança cibernética de empresas públicas, governança e relatórios de incidentes (opens a new window). De acordo com a regra finalizada, as empresas listadas na bolsa dos EUA são obrigadas a divulgar - dentro de quatro dias - quaisquer incidentes materiais de segurança cibernética. Isso inclui fornecer informações sobre sua natureza, escopo, tempo e impacto material ou probabilidade de impacto material.
De acordo com a regra, as empresas públicas também são obrigadas a divulgar, numa base anual, informações sobre as suas estratégias de gestão de riscos. As empresas devem informar sobre seus processos internos e estruturas de governação para avaliar, identificar e gerir ameaças materiais à cibersegurança.
Em 24 de junho de 2024, a SEC forneceu orientações adicionais sobre as responsabilidades específicas das empresas de acordo com a regra. A Divisão de Finanças Corporativas da agência publicou cinco interpretações de conformidade e divulgação (C&DIs), (opens a new window) apresentadas em formato de perguntas e respostas, que esclarecem como as empresas devem aplicar a regra de divulgação da SEC em certas circunstâncias específicas.
Pergunta 1: E se um evento terminar antes de ser efetuada uma determinação de materialidade?
Uma entidade registada sofre um incidente de cibersegurança que envolve um ataque de ransomware. O ataque de ransomware resulta numa interrupção das operações ou na extração de dados. Depois de descobrir o incidente, mas antes de determinar se o incidente é material, o registrante efetua um pagamento de ransomware e o agente da ameaça que causou o incidente termina a perturbação das operações ou devolve os dados. A entidade registada continua a ser obrigada a determinar a materialidade do incidente?
De acordo com a SEC, sim, a entidade registada é obrigada a determinar a materialidade de um incidente deste tipo. O raciocínio da SEC: “A cessação ou aparente cessação do incidente antes da determinação da materialidade” não elimina a exigência de que uma empresa pública faça essa determinação.
Pergunta 2: E se um evento material for rapidamente resolvido?
Um registrante sofre um incidente de cibersegurança que determina ser material. Esse incidente envolve um ataque de ransomware que resulta numa perturbação das operações ou na extração de dados e tem um impacto material ou é razoavelmente provável que tenha um impacto material no registante, incluindo a sua condição financeira e os resultados das operações. Subsequentemente, o registante efetua um pagamento de ransomware e o agente da ameaça que causou o incidente termina a perturbação das operações ou devolve os dados. Se a entidade registada não tiver comunicado o incidente em conformidade com o Item 1.05 do Formulário 8-K antes de ter efetuado o pagamento do ransomware e o agente da ameaça tiver terminado a interrupção das operações ou devolvido os dados antes do prazo de apresentação do Item 1.05 do Formulário 8-K, a entidade registada continua a ter de divulgar o incidente em conformidade com o Item 1.05 do Formulário 8-K?
Resposta da SEC: Sim, a entidade registada deve continuar a divulgar o incidente. Embora o incidente tenha terminado, foi considerado material. Por conseguinte, uma empresa pública é obrigada a comunicar o incidente aos seus investidores através do Formulário 8-K.
Pergunta 3: E se o pagamento para resolver um ataque de ransomware estiver coberto por um seguro?
Uma entidade registada sofre um incidente de cibersegurança que envolve um ataque de ransomware e efetua um pagamento de ransomware ao agente da ameaça que causou o incidente. O registrante tem uma apólice de seguro que cobre incidentes de cibersegurança e é reembolsado pela totalidade ou por uma parte substancial do pagamento do ransomware. O incidente não é necessariamente material em resultado do facto de a entidade registada ter sido reembolsada pelo pagamento do ransomware ao abrigo da sua apólice de seguro?
Aqui, a SEC diz que não, uma empresa pública não deve assumir que tal incidente não é material. Mesmo que seja efetuado um pagamento de resgate - e uma seguradora reembolse um tomador de seguro por esse pagamento - uma empresa que determine a materialidade deve considerar os efeitos a longo prazo nas suas operações e finanças. A SEC refere especificamente que, entre outros factores, uma entidade registada deve considerar qualquer alteração na disponibilidade ou aumento do custo dos seguros, que pode ser uma consequência natural de um incidente.
Pergunta 4: E se o pagamento de um resgate for pequeno?
Um registrante sofre um incidente de cibersegurança que envolve um ataque de ransomware. A dimensão do pagamento do resgate é, por si só, determinante para determinar se o incidente de cibersegurança é material? Por exemplo, um pagamento de ransomware de pequena dimensão tornaria necessariamente imaterial o incidente de cibersegurança relacionado?
Não, o incidente pode continuar a ser material. Embora as implicações financeiras imediatas de um incidente sejam um fator na determinação da materialidade, devem também ser considerados outros fatores, incluindo quaisquer efeitos a longo prazo nas operações, na marca e reputação de uma empresa e nas relações com os clientes. Mesmo que seja necessário apenas um pequeno pagamento de resgate para o resolver, um incidente pode ser material.
Pergunta 5: Os eventos individualmente imateriais podem ser coletivamente considerados materiais?
Um registante sofre uma série de incidentes de cibersegurança envolvendo ataques de ransomware ao longo do tempo, quer por um único agente de ameaça, quer por vários agentes de ameaça. O registante determina que cada incidente, individualmente, é imaterial. A divulgação desses incidentes de cibersegurança é, no entanto, exigida nos termos do Item 1.05 do Formulário 8-K?
Em suma, depende dos factos e circunstâncias específicos que envolvem os incidentes em questão. Entre outros factores, uma empresa afetada “deve considerar se algum desses incidentes estava relacionado e, em caso afirmativo, determinar se esses incidentes relacionados, coletivamente, eram materiais”. Uma série de pequenos incidentes pode ser considerada “relacionada” se, por exemplo, for perpetrada pelo mesmo agente malicioso ou por vários agentes que tentam explorar a mesma vulnerabilidade.
Interpretação das interpretações da SEC
No total, os C&DIs da SEC reflectem a expetativa da agência de que as empresas públicas realizem avaliações de materialidade após cada incidente cibernético.
Em última análise, uma avaliação de materialidade pode determinar que um determinado evento não precisa de ser divulgado aos investidores. Mas a SEC deixou claro o seu ponto de vista de que, de acordo com a nova regra, as empresas públicas devem sempre considerar seriamente a questão da materialidade. Isto é necessário mesmo que um acontecimento seja resolvido rapidamente e/ou sem despesas significativas ou se uma empresa tiver tomado medidas para remediar o acontecimento, tais como evitar a divulgação de dados.
A aplicabilidade do seguro também não alivia a responsabilidade de uma empresa de efetuar uma avaliação da materialidade e, potencialmente, divulgar um acontecimento aos investidores. Além disso, as implicações a longo prazo de um acontecimento em termos de custos e disponibilidade de seguros também devem ser consideradas como parte de uma avaliação da materialidade.
Apesar de outros factores, como as condições económicas e as tendências de perdas no mercado, poderem influenciar os preços e as condições de renovação, o pagamento de um resgate por uma seguradora pode, por vezes, reduzir totalmente o limite de uma apólice de seguro cibernético. Isto pode levar uma seguradora a aumentar os preços de um determinado segurado como condição de renovação, embora uma empresa possa ser capaz de evitar ou minimizar aumentos de taxas apresentando uma forte história de higiene cibernética aos subscritores.
Melhores práticas de conformidade
As empresas públicas devem estar atentas à recente decisão do Supremo Tribunal (opens a new window), no processo Loper Bright Enterprises v. Raimondo, que oferece novas bases para as empresas contestarem regulamentos administrativos que poderiam argumentar estarem para além da autoridade das agências. É possível que as empresas públicas utilizem a decisão Loper Bright como base para contestar a regra de cibersegurança da SEC. Por enquanto, no entanto, as empresas são aconselhadas a tomar todas as medidas necessárias para cumprir a regra e as últimas orientações da SEC.
As avaliações de materialidade devem ser efetuadas com o apoio de um advogado externo especializado em valores mobiliários. Embora outras pessoas, como diretores de tecnologia e diretores de segurança da informação, possam estar envolvidas na realização de uma avaliação, é vital que o exercício seja conduzido por uma parte que compreenda a regra da SEC e as responsabilidades de divulgação das empresas públicas. Os conselhos de administração das empresas devem também assumir um papel ativo na gestão das ameaças à cibersegurança em termos mais gerais.
As empresas públicas devem trabalhar com os seus corretores de seguros e outros consultores para garantir que todos os seus processos de gestão do risco cibernético estão atualizados. O planeamento da resposta a incidentes é especialmente importante, para garantir a preparação antes de um potencial evento.
Para serem mais úteis durante um evento de crise, os planos escritos de resposta a incidentes das empresas públicas devem:
Articular claramente todas as medidas que as empresas devem tomar para identificar, conter, responder e continuar as operações no caso de um incidente, juntamente com as funções e responsabilidades de cada membro da equipa.
Ser facilmente acessíveis - por exemplo, impressos, divulgados e armazenados em vários locais.
Ser testado e atualizado pelo menos uma vez por ano. Os testes de mesa podem ajudar a identificar potenciais pontos fracos e garantir que todas as partes estão na mesma página, incluindo sobre os prazos de conformidade antes da ocorrência de um evento. Para garantir a comunicação atempada, as avaliações de materialidade devem ser incorporadas nos planos de resposta a incidentes e nos exercícios de mesa das empresas.
