La SEC adopta nuevas normas de divulgación en materia de ciberseguridad
3 de agosto de 2023
El 26 de julio de 2023, la Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptó las normas definitivas relativas a la gestión de riesgos, la estrategia, la gobernanza y la notificación de incidentes de ciberseguridad por parte de las empresas que cotizan en bolsa. Las normas definitivas exigen a los registrantes (1) informar en un nuevo apartado 1.05 del formulario 8-K de cualquier incidente de ciberseguridad que el registrante considere relevante, y (2) revelen en los informes anuales del Formulario 10-K los procesos del registrante para evaluar, identificar y gestionar los riesgos importantes derivados de las amenazas a la ciberseguridad, los impactos importantes de las amenazas a la ciberseguridad y los incidentes de ciberseguridad anteriores, así como información específica relacionada con el papel de la junta directiva y la dirección en la identificación y gestión de los riesgos relacionados con la ciberseguridad. La SEC también adoptó normas que exigen a los emisores privados extranjeros realizar revelaciones comparables.
El presidente de la SEC, Gary Gensler, declaró que espera que las nuevas normas beneficien tanto a las empresas como a los inversores, y explicó que, aunque muchas empresas ya divulgan información relacionada con la ciberseguridad, tanto los inversores como las empresas «se beneficiarían si esta divulgación se realizara de una manera más coherente, comparable y útil para la toma de decisiones».
Fondo
Antes de la adopción de las normas definitivas, ni el Reglamento S-K ni el Reglamento S-X exigían explícitamente la divulgación de información sobre ciberseguridad. Sin embargo, a medida que los riesgos relacionados con la ciberseguridad se hicieron más frecuentes, la SEC comenzó a tomar nota de la falta de orientación en este ámbito. En 2011, la División de Finanzas Corporativas de la SEC publicó una guía interpretativa en la que exponía su opinión sobre las obligaciones de divulgación de información sobre ciberseguridad de los registrantes, seguida de una guía interpretativa adicional en 2018.
El 9 de marzo de 2022, la SEC publicó una propuesta de normas para formalizar los requisitos de divulgación. Las normas definitivas son muy similares a las propuestas, con varias excepciones importantes en lo que respecta a la divulgación de información sobre ciberseguridad: (1) las normas definitivas reducen la cantidad de información que debe divulgarse en el formulario 8-K, después de que los comentaristas expresaran su preocupación por que la divulgación de algunos detalles pudiera agravar las amenazas a la seguridad; (2) las normas definitivas eliminan el punto 106(d)(2) propuesto del Reglamento S-K, que habría obligado a los registrantes a divulgar en sus informes periódicos cuando una serie de incidentes de ciberseguridad previamente no divulgados e individualmente irrelevantes se volvieran relevantes en su conjunto, y (3) las normas definitivas eliminan el punto 407(j) propuesto del Reglamento S-K, que habría exigido la divulgación de la experiencia en ciberseguridad de los miembros del consejo de administración.
Notificación de incidentes de ciberseguridad en el formulario 8-K
- Las normas definitivas modifican el formulario 8-K para añadir el punto 1.05, que exige a los registrantes divulgar información sobre un incidente de ciberseguridad en un plazo de cuatro días hábiles a partir de la fecha en que el registrante determine que ha sufrido un incidente de ciberseguridad significativo (y no a partir de la fecha en que el registrante descubra el incidente).
- El punto 1.05 exige a los registrantes que revelen: (a) una descripción de los aspectos materiales de la naturaleza, el alcance y el momento en que se produjo el incidente de ciberseguridad; y (b) el impacto material o el impacto material razonablemente probable sobre el registrante, incluida su situación financiera y los resultados de sus operaciones. Se trata de una divulgación menos onerosa que la contemplada en las normas propuestas, que también habrían exigido información sobre cuándo se descubrió el incidente de ciberseguridad, si estaba en curso y si el registrante ya había remediado o estaba remediando el incidente de ciberseguridad. Las normas definitivas también incluyen una instrucción al punto 1.05 en la que se establece que el registrante no tiene que divulgar información específica o técnica sobre su respuesta prevista al incidente de ciberseguridad o sus sistemas de ciberseguridad, redes y dispositivos relacionados, o posibles vulnerabilidades del sistema con un nivel de detalle tal que impida la respuesta o la solución del incidente por parte del registrante.
- Las normas definitivas exigen que el registrante determine si un incidente de ciberseguridad es relevante «sin demoras injustificadas» tras descubrirlo. Se trata de una norma ligeramente más flexible que la norma «tan pronto como sea razonablemente posible» de las normas propuestas.
- Según las normas definitivas, «incidente de ciberseguridad» significa un suceso no autorizado, o una serie de sucesos no autorizados relacionados, que se produzca en los sistemas de información de un registrante o se lleve a cabo a través de ellos y que ponga en peligro la confidencialidad, integridad o disponibilidad de los sistemas de información del registrante o de cualquier información que se encuentre en ellos. Como resultado, aunque las normas definitivas no contienen el requisito de divulgar en informes periódicos cuando una serie de incidentes de ciberseguridad previamente no divulgados e individualmente irrelevantes se convierten en relevantes en su conjunto, el registrante estará obligado a presentar un formulario 8-K si se ha visto afectado de manera relevante por una serie de sucesos de ciberseguridad relacionados, cada uno de los cuales puede ser irrelevante individualmente.
- Las normas definitivas incluyen una instrucción al punto 1.05 que exige al registrante incluir en el formulario 8-K una declaración en la que se identifique cualquier información requerida por el punto 1.05 que no se haya determinado o no esté disponible en el momento de la presentación requerida. En tal caso, el registrante deberá presentar una modificación del formulario 8-K en un plazo de cuatro días hábiles a partir de que el registrante, sin demoras injustificadas, determine dicha información o en un plazo de cuatro días hábiles a partir de que dicha información esté disponible.
- A diferencia de las normas propuestas, las normas definitivas permiten a los registrantes retrasar la presentación del formulario 8-K en dos circunstancias limitadas:
- Si el Fiscal General de los Estados Unidos determina que la divulgación supone un riesgo sustancial para la seguridad nacional o la seguridad pública y notifica por escrito a la SEC dicha determinación, la divulgación en el Formulario 8-K podrá retrasarse durante un período de tiempo especificado por el Fiscal General de los Estados Unidos, de hasta 30 días (sujeto a prórroga en determinados casos) a partir de la fecha en que se hubiera requerido la divulgación. La SEC señaló en la publicación de adopción de las normas definitivas que ha establecido un proceso para que el Departamento de Justicia también notifique al registrante afectado que se ha realizado la comunicación a la SEC, de modo que el registrante pueda retrasar la presentación de su formulario 8-K.
- Si un registrante está sujeto a la norma de la Comisión Federal de Comunicaciones que exige la notificación de violaciones de la información de red privada del cliente («CPNI») al Servicio Secreto de los Estados Unidos («USSS») y la Oficina Federal de Investigaciones («FBI») a más tardar siete días hábiles después de la determinación razonable de una violación de la CPNI, entonces la divulgación en el Formulario 8-K puede retrasarse hasta un período de siete días hábiles después de la notificación al USSS y al FBI con notificación por escrito a la SEC.
- Las normas definitivas establecen que la presentación fuera de plazo del formulario 8-K en virtud del punto 1.05 no supondrá la pérdida de la elegibilidad para el formulario S-3 o el formulario SF-3.
- El punto 1.05 del formulario 8-K exige el etiquetado XBRL en línea, incluido el etiquetado detallado de las divulgaciones narrativas.
Divulgación de información sobre gestión de riesgos, estrategia y gobernanza en materia de ciberseguridad en los informes anuales
- Las normas definitivas modifican el formulario 10-K para añadir el nuevo punto 1C y añadir el punto 106 del Reglamento S-K, que exigen la divulgación de la siguiente información:
- Los procesos de un registrante, si los hubiera, para evaluar, identificar y gestionar los riesgos importantes derivados de las amenazas a la ciberseguridad con suficiente detalle para que un inversor razonable pueda comprender dichos procesos. Se trata de una norma ligeramente más flexible que las «políticas y procedimientos» que deben divulgarse en las normas propuestas. Como se señala en la publicación de adopción de las normas definitivas, este cambio se introdujo para responder a la preocupación de que las normas propuestas proporcionaran demasiados detalles y, por lo tanto, crearan amenazas para la seguridad. Las normas definitivas proporcionan la siguiente lista no exhaustiva de elementos de divulgación:
- Si dichos procesos se han integrado en el sistema o los procesos generales de gestión de riesgos del solicitante de registro, y de qué manera.
- Si el solicitante del registro contrata a evaluadores, consultores, auditores u otros terceros en relación con cualquiera de dichos procesos; y
- Si el solicitante del registro cuenta con procesos para supervisar e identificar dichos riesgos derivados de amenazas a la ciberseguridad asociadas al uso de cualquier proveedor de servicios externo.
- Si los riesgos derivados de amenazas a la ciberseguridad, incluidos los resultantes de incidentes de ciberseguridad anteriores, han afectado de manera significativa o es razonable que puedan afectar de manera significativa al registrante, incluyendo su estrategia comercial, resultados de operaciones o situación financiera y, en caso afirmativo, de qué manera.
- La supervisión por parte del consejo de administración de los riesgos derivados de las amenazas a la ciberseguridad y, si procede, la identidad de cualquier comité o subcomité del consejo responsable de dicha supervisión y los procesos mediante los cuales se informa al consejo o a dicho comité sobre dichos riesgos. Se trata de una divulgación más limitada que la que se habría exigido en virtud de las normas propuestas, que habrían requerido más información sobre cómo la ciberseguridad se relacionaba con la estrategia comercial del registrante, así como información adicional sobre la frecuencia de los debates sobre ciberseguridad en las reuniones del consejo.
- De una manera que también es menos detallada que lo contemplado en las normas propuestas (que habrían exigido información sobre la frecuencia de las discusiones de la dirección sobre ciberseguridad), el papel de la dirección en la evaluación y gestión de los riesgos importantes del registrante derivados de las amenazas a la ciberseguridad. Las normas definitivas proporcionan la siguiente lista no exhaustiva de elementos de divulgación:
- Si existen puestos directivos o comités responsables de evaluar y gestionar dichos riesgos, y cuáles son, así como los conocimientos especializados pertinentes de dichas personas o miembros, con el nivel de detalle necesario para describir plenamente la naturaleza de dichos conocimientos;
- Los procesos mediante los cuales dichas personas o comités reciben información y supervisan la prevención, detección, mitigación y reparación de incidentes de ciberseguridad; y
- Si dichas personas o comités informan sobre dichos riesgos al consejo de administración o a un comité o subcomité del consejo de administración.
- El punto 106 del Reglamento S-K exige el etiquetado XBRL en línea, incluido el etiquetado detallado de las divulgaciones narrativas.
- Los procesos de un registrante, si los hubiera, para evaluar, identificar y gestionar los riesgos importantes derivados de las amenazas a la ciberseguridad con suficiente detalle para que un inversor razonable pueda comprender dichos procesos. Se trata de una norma ligeramente más flexible que las «políticas y procedimientos» que deben divulgarse en las normas propuestas. Como se señala en la publicación de adopción de las normas definitivas, este cambio se introdujo para responder a la preocupación de que las normas propuestas proporcionaran demasiados detalles y, por lo tanto, crearan amenazas para la seguridad. Las normas definitivas proporcionan la siguiente lista no exhaustiva de elementos de divulgación:
Emisores privados extranjeros
- Las normas definitivas modifican el Formulario 6-K para añadir «incidentes de ciberseguridad» como tema de notificación según la Instrucción General B. Como resultado, los emisores privados extranjeros estarán obligados a divulgar los incidentes de ciberseguridad en el Formulario 6-K si divulgan o están obligados a divulgar dichos incidentes de conformidad con la legislación de la jurisdicción en la que están constituidos, ante una bolsa de valores o ante sus tenedores de valores.
- Las normas definitivas modifican el formulario 20-F para exigir a los emisores privados extranjeros que incluyan en sus informes anuales, en un nuevo apartado 16K, información sobre ciberseguridad del mismo tipo que la exigida en el apartado 106 del Reglamento S-K a los registrantes nacionales.
Momento de entrada en vigor de las normas definitivas
- En lo que respecta al cumplimiento de los requisitos de divulgación de incidentes de ciberseguridad establecidos en el punto 1.05 del formulario 8-K y en el formulario 6-K, todas las entidades registradas, salvo las pequeñas empresas que presentan informes, deberán comenzar a cumplir dichos requisitos en un plazo de 90 días a partir de la fecha de publicación de las nuevas normas en el Registro Federal o el 18 de diciembre de 2023, lo que sea posterior.
- Las empresas más pequeñas que presentan informes tendrán 180 días adicionales y deberán comenzar a cumplir con el punto 1.05 del formulario 8-K en la fecha más tardía entre 270 días a partir de la fecha de entrada en vigor de las normas o el 15 de junio de 2024.
- Con respecto al punto 106 del Reglamento S-K y los requisitos correspondientes del formulario 10-K y los requisitos comparables del formulario 20-F, todos los registrantes deben proporcionar dicha información a partir de los informes anuales correspondientes a los ejercicios fiscales que finalicen a partir del 15 de diciembre de 2023. Para las empresas con año natural, esto significa que la información deberá incluirse en su Formulario 10-K o Formulario 20-F de 2023 presentado en 2024.
- Todos los registrantes deben etiquetar las divulgaciones exigidas por las normas definitivas en Inline XBRL a partir de un año después del cumplimiento inicial del requisito de divulgación correspondiente.
Acciones recomendadas
Debido a la creciente prevalencia de la tecnología en las empresas de todos los sectores, al aumento de los incidentes de ciberseguridad y a estas obligaciones adicionales de divulgación en torno a los incidentes de ciberseguridad para los registrantes, esperamos que la ciberseguridad siga siendo un área de interés para las empresas, los reguladores y los inversores. A la luz de este interés, recomendamos a los registrantes y a sus directores y ejecutivos que consideren las siguientes medidas recomendadas:
- Los registrantes deben evaluar sus controles y procedimientos de divulgación de informes sobre incidentes cibernéticos para garantizar que la información se transmita a la dirección de manera oportuna y que se tomen las decisiones adecuadas en cuanto a la importancia relativa, teniendo en cuenta el requisito de presentar el formulario 8-K, apartado 1.05, en un plazo de cuatro días hábiles.
- Los registrantes deben revisar y probar sus planes de respuesta ante incidentes de ciberseguridad para garantizar que los incidentes se notifiquen adecuadamente en toda la organización. Estos planes deben revisarse y probarse periódicamente mediante simulacros para garantizar una respuesta oportuna y adecuada. Con los nuevos requisitos de divulgación, es importante que las pruebas incluyan a la dirección para garantizar la capacidad de la organización de cumplir con sus mayores obligaciones de divulgación en relación con los incidentes de ciberseguridad. Además, los registrantes deben delimitar el personal o equipo responsable de determinar si un incidente de ciberseguridad es relevante, así como sus procesos específicos de toma de decisiones y documentación.
- Las juntas directivas deben seguir siendo conscientes de qué consejeros tienen conocimientos o experiencia en materia de ciberseguridad y qué comités o subcomités, si los hay, son responsables, o deberían serlo, de supervisar las cuestiones relacionadas con la ciberseguridad, y modificar los documentos de gobernanza en consecuencia. Además, aunque las normas definitivas de la SEC no exigen la divulgación de los conocimientos individuales de los consejeros en materia de ciberseguridad, esperamos que muchas empresas sigan realizando o añadiendo esta divulgación en relación con las matrices de competencias de los consejeros.
- Los registrantes deben esforzarse por identificar, si aún no está claro en las políticas y procedimientos actuales de la empresa, quién es específicamente responsable de supervisar los riesgos derivados de las amenazas a la ciberseguridad y comprender cómo se divulgarán ahora estos procesos, cómo se identifican los riesgos de ciberseguridad y cómo se descubren, mitigan y remedian los incidentes de ciberseguridad. Los registrantes se verán sometidos a una mayor presión para desarrollar programas integrales de gestión de la ciberseguridad basados en el riesgo, con el fin de supervisar los riesgos cambiantes a los que se enfrentan sus empresas. Dichos programas deben incluir, según corresponda, la realización de un mapa de datos de la información y los sistemas, la determinación de los marcos de ciberseguridad aplicables, la realización de evaluaciones de riesgos y pruebas de penetración, la implementación de medidas de seguridad razonables, la adopción de protecciones contractuales (incluidas las que ayudan a garantizar que existan procesos para supervisar e identificar los riesgos de los proveedores de servicios externos), la evaluación de las opciones de seguros cibernéticos, la implementación de formación para la plantilla y la realización de simulacros, entre otros programas, dependiendo del sector del solicitante del registro y de los riesgos específicos de ciberseguridad.
- Los solicitantes de registro deben determinar y documentar quiénes son los evaluadores, consultores, auditores y otros terceros que les prestan asistencia en sus programas de ciberseguridad, especialmente los terceros que les prestarán asistencia en la respuesta a incidentes, incluidos los expertos en informática forense, relaciones públicas, negociación de rescates, recuperación ante desastres y bufetes de abogados.
Autor(es)
Información relacionada
11 de diciembre de 2025
Puntos de vista de Foley
Riesgos antimonopolísticos y estrategias de cumplimiento normativo en la gestión de carteras de propiedad intelectual
Este artículo analiza cómo la gestión de la cartera de propiedad intelectual puede promover simultáneamente la innovación y presentar un potencial...
11 de diciembre de 2025
Puntos de vista de Foley
CARB publica las regulaciones propuestas para las leyes SB 261 y 253
El 9 de diciembre de 2025, la Junta de Recursos del Aire de California (CARB) publicó su propuesta de texto normativo para las regulaciones iniciales...
11 de diciembre de 2025
Perspectivas sobre tecnología innovadora
La OCC emite otra carta interpretativa favorable a las criptomonedas: admisibilidad de las transacciones de criptoactivos sin riesgo para el capital.
El 9 de diciembre de 2025, la Oficina del Contralor de la Moneda (OCC) emitió la Carta Interpretativa 1188 (IL 1188), en la que confirmaba que los bancos nacionales pueden, como parte de su actividad bancaria, realizar transacciones sin riesgo con criptoactivos principales.