Atenção, a partir de 18/12/2023, a Securities and Exchange Commission (SEC) passa a exigir os novos requisitos para que as empresas públicas divulguem os riscos materiais de cibersegurança mais rapidamente e com mais detalhes, além de divulgarem proativamente detalhes sobre as suas práticas de gestão de riscos de cibersegurança.
Comunicação de incidentes materiais de cibersegurança
Em 26 de julho, a SEC finalizou sua regra sobre gestão de riscos de segurança cibernética de empresas públicas, governança e relatórios de incidentes. De acordo com a nova regra, inicialmente proposta em março de 2022, as empresas listadas nas bolsas dos EUA, incluindo empresas estrangeiras, são obrigadas a divulgar aos investidores quaisquer incidentes materiais de segurança cibernética, incluindo o fornecimento de informações sobre a natureza, escopo, tempo e impacto material ou probabilidade de impacto material desses incidentes.
A empresa é obrigada a fazer essa divulgação no prazo de quatro dias após a determinação da materialidade, a menos que o procurador-geral dos EUA tenha determinado - por escrito - que a divulgação representaria um risco substancial para a segurança nacional ou para a segurança pública. A determinação da materialidade deve ser efetuada "sem atrasos injustificados".
A regra também exige que as entidades registradas:
Descrevam nas declarações de rendimentos trimestrais e anuais as suas práticas de gestão do risco cibernético, incluindo políticas para avaliar, identificar e gerir riscos materiais. Quando aplicável, as entidades registadas devem também divulgar a forma como estas políticas estão integradas nas funções globais de gestão de riscos das suas organizações, quaisquer terceiros que estejam envolvidos em relação a essas políticas e quaisquer processos que tenham em vigor para auditar fornecedores terceiros que prestem serviços de gestão de riscos de cibersegurança.
Divulgar qualquer risco, incluindo incidentes de cibersegurança anteriores, que os tenham afetado materialmente ou que sejam razoavelmente susceptíveis de os afetar.
Descrever os processos de supervisão do risco de cibersegurança dos seus conselhos de administração e os processos através dos quais estes são informados desses riscos, incluindo o papel da direção na avaliação e gestão dos riscos de cibersegurança. No entanto, as organizações não são obrigadas a divulgar as competências em matéria de cibersegurança representadas nos seus conselhos de administração.
A regra também exige que os emitentes privados estrangeiros efetuem divulgações semelhantes.
Gerir os riscos cibernéticos de forma mais eficaz
Os novos requisitos começarão a entrar em vigor em dezembro de 2023, tendo as empresas menores até junho de 2024 para iniciar o cumprimento. A regra destaca a importância de todas as empresas públicas terem estruturas robustas de gestão de riscos de cibersegurança em vigor. À luz da nova regra da SEC, as empresas devem considerar a implementação dos seguintes processos de mitigação de riscos cibernéticos:
1. Resposta a incidentes e planeamento da continuidade das atividades. As organizações devem analisar e rever os planos existentes de resposta a incidentes e de continuidade das atividades, tendo em conta os requisitos de calendário e de divulgação. Se ainda não dispuserem de tais planos, esta é uma boa hora para os criar. É essencial testar esses planos - quer tenham sido criados recentemente ou simplesmente atualizados à luz da nova regra da SEC.
2) Análise da postura de segurança. As organizações devem:
a. Rever as suas práticas de tratamento de dados e revê-las para garantir os melhores protocolos de tratamento de dados da sua classe.
b. Rever e avaliar os programas de gestão de fornecedores terceiros, incluindo a realização de avaliações de risco de fornecedores.
c. Estabelecer boas práticas de higiene cibernética, incluindo a monitorização regular dos controlos de segurança, bem como o planeamento e a orçamentação de melhorias na segurança da informação.
3. Políticas de governança. As organizações devem avaliar as políticas existentes relativamente à gestão do risco de cibersegurança e à sua supervisão da matéria. E, embora a nova regra não exija a representação de especialistas em cibersegurança nos conselhos de administração, as empresas públicas devem considerar se esses especialistas são necessários para apoiar as suas avaliações e governança.
Considerações adicionais sobre os riscos das empresas públicas
Para além de tomarem medidas para melhor gerirem os riscos de cibersegurança e cumprirem a nova regra da SEC, as empresas públicas devem também estar atentas à possibilidade de litígio com os acionistas e de investigações e processos da SEC, caso não cumpram a regra.
O cumprimento pode ser um desafio para algumas empresas, que podem ainda não estar em condições até dezembro, entre outras coisas, descrever os seus processos de identificação e gestão de ameaças à cibersegurança.
Poderão também surgir ações judiciais contra empresas que tenham dificuldade em cumprir o curto prazo de quatro dias para comunicar incidentes após a determinação da sua materialidade. Mesmo que um incidente seja considerado material e comunicado no prazo de quatro dias, poderá ser difícil para as empresas fornecerem os pormenores necessários ou fazerem declarações que mais tarde se revelem incompletas ou inexatas.
Além disso, os litígios podem incluir alegações de declarações incorretas relativas a:
Os processos das empresas para avaliar, identificar e gerir os riscos materiais das ameaças à cibersegurança.
A supervisão dos riscos relacionados com a cibersegurança por parte dos conselhos de administração e o papel e a competência da direção na avaliação e gestão dos riscos importantes das ameaças à cibersegurança.
Tanto os litígios entre acionistas como as ações da SEC podem ser dispendiosos para as empresas e para os membros individuais dos conselhos de administração. Os acionistas parecem mais ansiosos do que nunca por encontrar razões para intentar ações judiciais alegando má gestão empresarial e violação de deveres fiduciários na sequência de qualquer acontecimento adverso - especialmente se o preço das ações de uma empresa for afetado. A SEC também tem sido especialmente agressiva nos últimos tempos.
Uma abordagem coordenada
Tendo em conta os novos requisitos, é vital que as empresas públicas trabalhem com consultores jurídicos, técnicos e de seguros para compreenderem suas potenciais exposições e criarem estruturas para cumprirem os requisitos da SEC.
Na medida em que as empresas públicas procuram transferir o risco para apólices de seguro, devem garantir que essas apólices - incluindo seguros de responsabilidade cibernética e de diretores e administradores (D&O) e possivelmente outras formas de cobertura - estão bem coordenadas. Devem também trabalhar com os seus consultores de seguros para garantir que têm limites suficientes e que a linguagem da apólice corresponde às suas expectativas de cobertura.