La SEC propone nuevas normas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes.

El 9 de marzo de 2022, la Comisión de Bolsa y Valores de Estados Unidos (la Comisión) anunció una propuesta de modificación de sus normas relativas a la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes por parte de las empresas cotizadas, con el fin de mejorar y estandarizar la divulgación de información.

El presidente de la Comisión, Gary Gensler, destacó que la propuesta «reforzaría la capacidad de los inversores para evaluar las prácticas de ciberseguridad y la notificación de incidentes de las empresas cotizadas». Las enmiendas propuestas tienen por objeto garantizar que los inversores estén mejor informados, al exigir la divulgación de información sobre la gestión de riesgos, la estrategia y la gobernanza de los registrantes en materia de ciberseguridad, y al exigir la notificación oportuna de los incidentes de ciberseguridad importantes. Además, las enmiendas propuestas refuerzan la creciente importancia de la ciberseguridad, al reconocer que «los costes y daños potenciales que pueden derivarse de un incidente de ciberseguridad importante son considerables».

La propuesta está actualmente abierta a comentarios y esperamos que suscite un gran interés y comentarios por parte de inversores, empresas y asesores. La opinión disidente de la comisionada Hester Pierce, que se resume a continuación, anticipa algunos de los argumentos que probablemente se esgrimirán en contra de las enmiendas propuestas, entre los que se incluyen que la obligación de informar sobre incidentes podría ser contraproducente para los intereses de los registrantes y sus partes interesadas, y que los requisitos de divulgación son una forma encubierta de imponer los objetivos de gobernanza deseados.

Fondo

Aunque ciertas regulaciones y leyes federales y estatales pueden exigir la divulgación de información sobre ciberseguridad, ni la Regulación S-K ni la Regulación S-X contienen actualmente ningún requisito de divulgación que exija explícitamente información sobre ciberseguridad. Sin embargo, en 2011, la División de Finanzas Corporativas publicó una guía interpretativa en la que exponía su opinión sobre las obligaciones de divulgación de los registrantes en materia de ciberseguridad y publicó una guía interpretativa de seguimiento en 2018 (Comunicado Interpretativo de 2018). La Publicación interpretativa de 2018 afirmaba que las Regulaciones S-K y S-X pueden exigir la divulgación de información sobre ciberseguridad en diversos apartados, tales como:

1. Factores de riesgo (punto 105)
2. Discusión y análisis de la dirección sobre la situación financiera y los resultados de las operaciones (punto 303)
3. Descripción de la actividad (punto 101)
4. Procedimientos legales (punto 103)
5. Gobierno corporativo (punto 407)
6. Divulgación de información financiera según la Regulación S-X

En su debate sobre las enmiendas propuestas, la Comisión señaló que aproximadamente el 94 % de los declarantes del formulario 10-K proporcionan información sobre ciberseguridad en la sección «Factores de riesgo», pero solo el 21 % y el 10 % de los declarantes proporcionaron dicha información en las secciones «Descripción del negocio» y «Discusión y análisis de la dirección», respectivamente.

Resumen

Las enmiendas propuestas:

1. Notificación de incidentes en el formulario 8-KModificar el formulario 8-K para añadir el punto 1.05, que exige a los registrantes divulgar información sobre un incidente de ciberseguridad en un plazo de cuatro días hábiles a partir de la fecha en que el registrante determine que ha sufrido un incidente de ciberseguridad significativo (y no a partir de la fecha en que el registrante descubra el incidente).
   • El punto 1.05 exigiría a los registrantes revelar: (a) cuándo se descubrió el incidente y si sigue en curso; (b) una breve descripción de la naturaleza y el alcance del incidente; (c) si se han robado, alterado, consultado o utilizado datos para cualquier otro fin no autorizado; (d) el efecto del incidente en las operaciones del registrante; y (e) si el registrante ha remediado o está remediando actualmente el incidente.
   • Entre los ejemplos de incidentes de ciberseguridad que, si se consideran importantes, darían lugar a la divulgación de información según el punto 1.05, se incluyen: (a) un incidente no autorizado que haya comprometido la confidencialidad, integridad o disponibilidad de un activo de información; (b) un incidente no autorizado que haya causado la degradación, interrupción, pérdida de control, daño o pérdida de sistemas de tecnología operativa; (c) un incidente en el que una parte no autorizada haya accedido y alterado o robado información comercial sensible, información de identificación personal, propiedad intelectual o información que pueda dar lugar a una responsabilidad para el registrante; (d) un incidente en el que un agente malintencionado haya ofrecido vender o haya amenazado con divulgar públicamente datos sensibles de la empresa; y (e) un incidente en el que un agente malintencionado haya exigido un pago para restaurar los datos de la empresa que fueron robados o alterados.
   • La propuesta establece que la presentación fuera de plazo del formulario 8-K en virtud del punto 1.05 no supondría la pérdida de la elegibilidad para el formulario S-3 o el formulario SF-3.
   • El plazo para presentar el informe no podrá retrasarse por ningún motivo, ni siquiera por la investigación en curso del incidente de ciberseguridad.


2. Actualizaciones continuas de los informes de incidentesModificar los formularios 10-Q y 10-K para exigir a los registrantes que proporcionen información actualizada sobre incidentes de ciberseguridad previamente divulgados, así como modificar los formularios 10-Q y 10-K para exigir la divulgación cuando una serie de incidentes de ciberseguridad previamente no divulgados y que individualmente no son significativos se hayan convertido en significativos en su conjunto.
   • La Comisión señaló que el objetivo de las enmiendas propuestas es equilibrar la necesidad de una divulgación rápida con el hecho de que es posible que el registrante no disponga de información completa sobre un incidente de ciberseguridad en el momento en que presenta el formulario 8-K.
   • Algunos ejemplos de esta divulgación son: (a) cualquier impacto significativo del incidente en las operaciones y la situación financiera del registrante; (b) cualquier impacto significativo potencial en el futuro en las operaciones y la situación financiera del registrante; (c) si el registrante ha remediado o está remediando actualmente el incidente; y (d) cualquier cambio en las políticas y procedimientos del registrante como resultado del incidente de ciberseguridad, y cómo el incidente puede haber influido en dichos cambios.


3. Divulgación de políticas y gobernanzaModificar el formulario 10-K y añadir la sección 106 del Reglamento S-K para exigir la divulgación de la siguiente información:
   1. Las políticas y procedimientos de un registrante, si los hubiera, para identificar y gestionar los riesgos de ciberseguridad, incluidos los riesgos de ciberseguridad asociados con el uso de cualquier proveedor de servicios externo, incluida la divulgación de:
      • Si el solicitante del registro cuenta con un programa de evaluación de riesgos de ciberseguridad y, en caso afirmativo, una descripción del programa.
      • Si el solicitante del registro contrata a evaluadores, consultores, auditores u otros terceros para su programa de evaluación de riesgos de ciberseguridad.
      • Las medidas adoptadas para prevenir, detectar y minimizar los efectos de los incidentes de ciberseguridad.
      • Si el solicitante del registro cuenta con planes de continuidad del negocio y recuperación ante desastres en caso de incidente de ciberseguridad.
      • Los incidentes de ciberseguridad anteriores han dado lugar a cambios en la gobernanza, las políticas y los procedimientos o las tecnologías del registrante.
      • Si los riesgos e incidentes relacionados con la ciberseguridad han afectado o es razonablemente probable que afecten a los resultados de las operaciones o la situación financiera del registrante.
      • Si los riesgos de ciberseguridad se consideran parte de la estrategia empresarial, la planificación financiera y la asignación de capital del registrante.
   2. La gobernanza de la ciberseguridad de un registrante, incluida la función de supervisión del consejo de administración en relación con los riesgos de ciberseguridad, entre los que se incluyen:
   • Si la junta directiva en su totalidad, determinados miembros de la junta o un comité de la junta son responsables de la supervisión de los riesgos de ciberseguridad.
   • Los procesos mediante los cuales se informa al consejo de administración sobre los riesgos de ciberseguridad, incluida la frecuencia de dichos debates.
   • Si la junta directiva o el comité de la junta directiva consideran los riesgos de ciberseguridad como parte de su estrategia empresarial, gestión de riesgos y supervisión financiera, y de qué manera lo hacen.
   3. El papel de la dirección, y los conocimientos especializados pertinentes, en la evaluación y gestión de los riesgos relacionados con la ciberseguridad y la aplicación de las políticas, procedimientos y estrategias conexos, entre los que se incluyen:
      • ¿Quién es responsable de medir y gestionar los riesgos de ciberseguridad, ya sean determinados puestos directivos o comités?
      • Si el solicitante del registro ha designado a un responsable de la seguridad de la información o a alguien en un puesto similar al que dicha persona rinde cuentas, y la experiencia de dicha persona «con el detalle necesario para describir plenamente la naturaleza de dicha experiencia».
      • Los procesos mediante los cuales dichas personas o comités reciben información y supervisan la prevención, mitigación, detección y reparación de incidentes de ciberseguridad.
      • Si dichas personas o comités informan al consejo de administración o a un comité del consejo de administración sobre los riesgos de ciberseguridad, y con qué frecuencia lo hacen.


4. Experiencia en ciberseguridad de la junta directiva: Modificar el punto 407 del Reglamento S-K para exigir la divulgación de información sobre si algún miembro del consejo de administración del registrante tiene experiencia en ciberseguridad, incluida experiencia previa en ciberseguridad, una certificación o título en ciberseguridad, y si el consejero tiene conocimientos u otra formación en ciberseguridad.


5. Aplicabilidad a emisores privados extranjerosModificar el formulario 6-K para añadir «incidentes de ciberseguridad» como tema de información según la Instrucción General B y modificar el formulario 20-F para exigir a los emisores privados extranjeros que incluyan información sobre ciberseguridad en sus informes anuales.
   • Esto requeriría el mismo tipo de divulgación propuesta en los puntos 106 y 407(j) del Reglamento S-K que se exigiría a los registrantes nacionales.


6. Etiquetado XBRL (Inline eXtensible Business Reporting Language) en línea: El punto 1.05 del formulario 8-K y los puntos 106 y 407(j) requerirían el etiquetado XBRL en línea, incluido el etiquetado detallado de las divulgaciones narrativas.

Voz discrepante

La comisionada Pierce redactó una declaración disidente sobre la propuesta, en la que acusaba a las enmiendas propuestas de orientar o crear una lista de expectativas sobre cómo deberían ser los programas de ciberseguridad de los emisores o de dictar el gobierno corporativo de los emisores, al tiempo que se disfrazaban como un requisito de divulgación estándar. Para respaldar su postura, la comisionada Pierce hace referencia al importante nivel de detalle que implican los requisitos.

La comisionada Pierce también expresó su preocupación por los requisitos propuestos para la notificación de incidentes. Señaló que el motivo de su preocupación es que la Comisión está actuando «despreciando indebidamente la necesidad de cooperar con nuestros socios del Gobierno federal y estatal, y en ocasiones de deferir a ellos». La comisionada Pierce prevé una situación en la que retrasar la divulgación de un incidente importante podría, de hecho, proteger a los inversores, por ejemplo, «aumentando las posibilidades de recuperar los fondos robados», y criticó que el requisito de notificación no permita dicho retraso.

Posibles implicaciones de las enmiendas propuestas para los solicitantes de registro

Las enmiendas propuestas pueden generar ciertas consecuencias no deseadas que los registrantes deberían empezar a considerar ahora, aunque es probable que las normas definitivas difieran de las enmiendas propuestas. Por lo tanto, los registrantes deberían considerar cómo las enmiendas propuestas pueden afectar a sus divulgaciones y qué medidas deberían tomar para garantizar el cumplimiento y limitar los riesgos de ciberseguridad.

1. Modificación de los planes de respuesta ante incidentes de ciberseguridad: Para cumplir con las obligaciones de divulgación y los plazos establecidos en las enmiendas propuestas, los planes de respuesta a incidentes de ciberseguridad de los registrantes deberán revisarse y modificarse, si procede, a fin de garantizar que los registrantes tengan la capacidad de evaluar y escalar rápidamente los incidentes de ciberseguridad. Además, los registrantes deberán poner a prueba dichos planes de forma periódica, incluyendo las medidas necesarias para informar de manera oportuna y adecuada sobre dichos incidentes de ciberseguridad, de conformidad con los requisitos de divulgación. Las pruebas deben incluir a los miembros de la dirección y del consejo de administración, según corresponda, para garantizar la capacidad de la organización de cumplir con sus obligaciones de divulgación en relación con los incidentes de ciberseguridad.


2. Gestión de terceros: Las enmiendas propuestas crearían riesgos de cumplimiento adicionales para los registrantes que dependen de «terceros proveedores de servicios de tecnología de la información», lo que, en cierta medida, abarca prácticamente a todos los registrantes, ya que las enmiendas propuestas regulan todos los «recursos de información que posee o utiliza el registrante». La mayoría de los contratos con terceros proveedores de servicios tienen obligaciones contractuales variables en cuanto a si deben informar a sus clientes de un incidente de ciberseguridad y cuándo deben hacerlo. Incluso con obligaciones de notificación reforzadas en virtud de un contrato con un proveedor de servicios externo, correspondería al registrante, y no al proveedor de servicios externo, determinar si el incidente de ciberseguridad sería relevante y requeriría su divulgación. Por lo tanto, los registrantes deberían considerar la posibilidad de revisar exhaustivamente todos los proveedores de servicios externos y sus contratos para comprender cómo los contratos existentes con los proveedores de servicios permitirían al registrante cumplir con sus obligaciones de divulgación. Una vez que las nuevas normas de divulgación sean definitivas, es probable que los registrantes tengan que modificar los contratos existentes y asegurarse de que los contratos futuros contengan nuevos requisitos en materia de ciberseguridad y privacidad de los datos. Es probable que los registrantes también tengan que llevar a cabo una diligencia adicional o mejorada, que incluya evaluaciones de riesgos de ciberseguridad y privacidad y auditorías de todos los proveedores de servicios externos aplicables. Los registrantes también deben considerar la posibilidad de establecer o revisar su programa actual de gestión de proveedores de servicios externos para garantizar que dichos terceros proporcionen información suficiente y oportuna que permita al registrante evaluar el incidente y tomar su propia decisión con respecto a cualquier divulgación requerida. Los registrantes también deben considerar lo que el proveedor externo puede o puede divulgar sobre un incidente. Esto probablemente será más complicado en situaciones en las que intervengan proveedores de servicios externos que sean registrantes con sus propios requisitos de divulgación, ya que los clientes que sean registrantes tendrán que considerar cómo la divulgación por parte del proveedor de servicios externo puede afectar a su propio análisis de divulgación en caso de que el proveedor de servicios externo realice una divulgación. Los registrantes también deben estar preparados para rescindir los acuerdos con los proveedores de servicios externos que no puedan cumplir con los nuevos requisitos de divulgación.


3. Riesgos de ciberseguridad: Los detalles exigidos por las enmiendas propuestas requieren una divulgación sustancial de las políticas y procedimientos de gestión de riesgos de ciberseguridad de los registrantes, así como de cualquier incidente de ciberseguridad. Si bien la intención de las enmiendas propuestas puede ser alentar a los registrantes a mejorar sus políticas y procedimientos, estos tendrán que sopesar cómo dicha divulgación podría proporcionar a los actores maliciosos información que les permita diseñar un ataque dirigido contra las vulnerabilidades percibidas y evitar ser detectados. La divulgación de detalles relacionados con un ataque en curso antes de su contención y reparación completas puede permitir a los actores maliciosos seguir victimizando a una organización vulnerable y a cualquier persona o entidad afectada. Esto también puede afectar a la capacidad de un registrante para contener y reparar un ataque cuando el registrante tiene que divulgar información sobre un incidente en curso o puede requerir la divulgación de si un registrante está sujeto a ransomware o extorsión y cuál es su posición y estrategia al respecto.


4. Riesgos de litigios: Las enmiendas propuestas exigen que, en un plazo de cuatro días hábiles desde que se determine que un incidente es un incidente de ciberseguridad grave, se divulgue la información relativa al descubrimiento del incidente de ciberseguridad, la naturaleza y el alcance del incidente, si se han robado, alterado, consultado o utilizado datos para cualquier otro fin no autorizado, el efecto del incidente en las operaciones del registrante y el estado de la reparación del incidente. Es probable que esta obligación de divulgación preceda a las notificaciones de violación de datos a las personas, los fiscales generales estatales, otras autoridades reguladoras y otras divulgaciones requeridas, así como a otras personas que puedan verse afectadas por el incidente. Esta divulgación temprana, que probablemente se produzca antes de que finalice la investigación del registrante, puede generar responsabilidad, ya que es probable que en el momento de la divulgación no se conozca el alcance total del incidente. Esto puede dar lugar a litigios antes de que el registrante tenga una visión completa del alcance y el impacto del incidente en la organización y puede afectar al privilegio abogado-cliente asociado a la investigación en curso. También puede afectar al análisis y la puntualidad de las obligaciones de notificación de violaciones de datos en virtud de las leyes aplicables en materia de protección y notificación de violaciones de datos.