PyE
WASHINGTON: El organismo de control de Wall Street votó para revelar una regla el miércoles que tiene como objetivo mejorar la forma en que las empresas públicas divulgan cuándo experimentan una infracción y cuándo.
Según las medidas propuestas por la Comisión de Bolsa y Valores (SEC), una empresa tendría que explicar cuándo experimenta un riesgo y qué estrategias ha empleado para abordar y gestionar dichos riesgos en las presentaciones de informes actuales, incluido el Formulario 8-K.
Los cambios en las reglas, que están sujetos a consulta pública, también requerirían un análisis de cómo es probable que los riesgos cibernéticos afecten las finanzas de la empresa. Esto permitiría a los inversores evaluar estos riesgos de manera más efectiva y localizarlos más fácilmente, dijo la SEC.
El voto de 3-1 de la comisión para emitir cambios se produce en un momento de creciente preocupación regulatoria sobre cómo los problemas de seguridad cibernética podrían afectar a los mercados y los inversores. Los reguladores han advertido, por ejemplo, sobre ataques cibernéticos de Rusia en represalia por las sanciones occidentales.
La administración del presidente Joe Biden también ha intensificado su enfoque en el tema después de una serie reciente de ataques cibernéticos de alto perfil contra empresas con sede en los EE. UU.
«La interconexión de nuestras redes, el uso de análisis de datos predictivos y el deseo insaciable de datos solo se están acelerando, poniendo en riesgo nuestras cuentas financieras, inversiones e información privada», dijo el miércoles el presidente de la SEC, Gary Gensler.
«Son como honeypots dentro de las empresas y los inversores quieren saber más sobre cómo los emisores están gestionando esos riesgos crecientes».
La medida del miércoles también requeriría actualizaciones en los informes periódicos para brindar a los inversores información más completa sobre incidentes de ciberseguridad materiales divulgados previamente, dijo la agencia.
Las propuestas se basarían en la guía de riesgo cibernético existente de la SEC, que permanecerá vigente, incluso bajo las nuevas reglas de la SEC, dijo a los periodistas un funcionario de la agencia.
«La forma en que una empresa podría pensar sobre el impacto (de una filtración) en la discusión y el análisis de las condiciones financieras por parte de la gerencia… aún debe tenerse en cuenta», agregó el funcionario.
La SEC ha advertido durante mucho tiempo a las empresas que la materialidad de una infracción cibernética no debe limitarse al impacto cuantitativo en los ingresos o los activos, sino que debe considerar factores cualitativos que un inversor razonable consideraría al tomar decisiones.
La comisionada republicana Hester Peirce, quien discrepó de la propuesta, dijo que la medida va más allá de la misión de la agencia.
“Esta propuesta coquetea con presentarnos como el Centro de Comando de Seguridad Cibernética de la nación, un papel que el Congreso no nos dio”, dijo.
Tom Quaadman, de la Cámara de Comercio de EE. UU., dijo que agradece la atención sobre el tema de la gestión de riesgos de seguridad cibernética, pero instó a que la SEC se comunique con otros expertos cibernéticos federales para ayudar a «garantizar que las políticas sean de apoyo, no duplicadas».
«La SEC, como agencia de divulgación, debe tener en cuenta no interponerse en el camino de las prioridades de seguridad nacional y centrarse en una coordinación sólida».
(Reporte de Katanga Johnson en Washington Editado por Michelle Price, Chizu Nomiyama, Jonathan Oatis y Diane Craft)
