Abajo pero no fuera: El Tribunal Federal limita las competencias de la SEC en materia de ciberseguridad

En una dura reprimenda a su intento de aplicar medidas relacionadas con la ciberseguridad contra una empresa pública, un juez federal desestimó recientemente la mayoría de los cargos que la Comisión de Bolsa y Valores de Estados Unidos (SEC) había presentado contra SolarWinds Corporation y el director de seguridad de la información (CISO) de la empresa. La sentencia supone un notable revés para la SEC, pero las empresas públicas y otras organizaciones reguladas deben prever un escrutinio continuo por parte de la SEC en lo que respecta a la ciberseguridad.

El caso SolarWinds

En 2023, la SEC acusó a SolarWinds y a su director de seguridad de la información (CISO) de fraude y fallos en los controles internos relacionados con vulnerabilidades de ciberseguridad supuestamente conocidas. Según la SEC, los acusados exageraron las prácticas de ciberseguridad de la empresa y subestimaron sus riesgos en materia de ciberseguridad. Los acusados supuestamente conocían deficiencias específicas en el programa de ciberseguridad de la empresa, y esas deficiencias quedaron al descubierto en diciembre de 2020, cuando la empresa anunció que había sido víctima de un ciberataque masivo que se prolongó durante casi dos años. Tras revelarse el ataque, las acciones de SolarWinds cayeron en picado.

El Tribunal Federal desestima el caso de la SEC

El mes pasado, el juez federal que lleva el caso SolarWinds desestimó la mayoría de las demandas de la SEC contra la empresa y su director de seguridad de la información. Lo más importante es que el tribunal rechazó los intentos de la SEC de utilizar los controles contables internos de la Ley de Bolsa de Valores de 1934 para respaldar una medida coercitiva dirigida a los controles de ciberseguridad de una empresa pública.

La SEC había alegado que, debido al deficiente programa de ciberseguridad de la empresa, SolarWinds no había «diseñado ni mantenido un sistema de controles contables internos». Esta fue la primera vez que la SEC presentó una demanda por control contable basada en las deficiencias de ciberseguridad del demandado. El tribunal determinó que el término «sistema de controles contables internos» se refiere a la contabilidad financiera de una empresa y no abarca sus sistemas de ciberseguridad. Además de rechazar esta demanda, el tribunal también rechazó varias otras, dejando solo unas pocas pendientes.

Principales conclusiones

La SEC ha buscado cada vez más desempeñar un papel destacado en materia de ciberseguridad. Hace varios años, la agencia publicó unas directrices sobre las obligaciones de divulgación de las empresas públicas en relación con los incidentes de ciberseguridad. Y tan solo el año pasado, la SEC publicó una norma que exige la divulgación oportuna de los incidentes de ciberseguridad importantes y la divulgación anual de la gestión, la estrategia y la gobernanza de los riesgos de ciberseguridad.

La SEC también ha promulgado normas relacionadas con las políticas y procedimientos de ciberseguridad para corredores de bolsa, sociedades de inversión, asesores de inversión registrados y otras instituciones cubiertas. Nuestro equipo ha escrito sobre esas políticas y procedimientos aquí.

Además, antes de la orden en el caso SolarWinds (y tan recientemente como en junio de 2024), la SEC ha resuelto acciones de ejecución contra otras empresas públicas utilizando la misma teoría de control contable interno que el juez de SolarWinds rechazó.

En este contexto, las empresas deben tener en cuenta las siguientes conclusiones:

Aunque la sentencia sobre SolarWinds supone una dura derrota para la SEC, la agencia seguirá adelante con el caso contra la empresa y su director de seguridad de la información, aunque con argumentos menos sólidos.
La SEC sigue muy centrada en la aplicación y supervisión de la ciberseguridad para las empresas públicas, como con la promulgación de la norma que exige la divulgación de incidentes importantes de ciberseguridad. Cabe destacar que esa norma no se aplicó en el caso SolarWinds, dado que la conducta en cuestión era anterior a la fecha de entrada en vigor de la norma. De cara al futuro, las empresas públicas deben trabajar con sus asesores jurídicos para cumplir con la norma de divulgación de la SEC para las empresas públicas.
Los corredores de bolsa, las sociedades de inversión, los asesores de inversión registrados y otras instituciones afectadas pueden esperar que la SEC continúe con la elaboración de normas y la aplicación de medidas en materia de ciberseguridad. La SEC ha dejado claro que considera la ciberseguridad como una cuestión importante para estas entidades.
Por consiguiente, las empresas y sociedades sujetas a la regulación de la SEC deben seguir invirtiendo en programas de ciberseguridad, desarrollar políticas y procedimientos de ciberseguridad (incluidos planes de respuesta ante incidentes) e investigar y responder con prontitud a posibles incidentes de ciberseguridad. Trabajar con asesores jurídicos de confianza en estas medidas puede ayudar a reforzar el programa de ciberseguridad de la empresa y mitigar los riesgos.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Tampa 813.225.4161

Un hombre de pelo corto y canoso, con traje oscuro y camisa rosa claro, de pie frente a un fondo interior borroso, que refleja el ambiente profesional de un despacho de abogados.

[email protected]

Chicago 312.832.4992

Información relacionada

Ver todas las entradas

11 de diciembre de 2025 Perspectivas sobre tecnología innovadora

La OCC emite otra carta interpretativa favorable a las criptomonedas: admisibilidad de las transacciones de criptoactivos sin riesgo para el capital.

El 9 de diciembre de 2025, la Oficina del Contralor de la Moneda (OCC) emitió la Carta Interpretativa 1188 (IL 1188), en la que confirmaba que los bancos nacionales pueden, como parte de su actividad bancaria, realizar transacciones sin riesgo con criptoactivos principales.

10 de diciembre de 2025 Asesor de la industria manufacturera

La guerra por el talento en la industria automotriz: cómo ganar la carrera por los trabajadores cualificados

Durante más de un siglo, el sector automovilístico se definió por la ingeniería mecánica, la fabricación y el dominio de las cadenas de montaje. Pero hoy en día, la industria está experimentando una transformación tecnológica tan profunda que está reescribiendo el ADN de la fabricación de automóviles.

3 de diciembre de 2025 Asesor de la industria manufacturera

Fabricado en China: lo que la industria automotriz debe saber sobre el auge mundial de la fabricación china de vehículos conectados en medio de las crecientes restricciones estadounidenses.

La industria automovilística china se ha globalizado, en gran parte gracias a los avances tecnológicos, las ventajas en términos de costes y la inversión extranjera a través de empresas conjuntas, especialmente en lo que respecta a los vehículos eléctricos (VE) y las tecnologías de vehículos conectados.