A nova regulamentação da SEC (Securities and Exchange Commission) dos Estados Unidos promulgou em 2023 uma regulamentação pioneira em segurança cibernética, impondo um marco significativo para a proteção de dados e a transparência no mercado de capitais.
A nova regulamentação, que entra em vigor em 15 de dezembro de 2023, requer que as empresas listadas na SEC revelem informações detalhadas sobre suas práticas de segurança cibernética. Este artigo explora os impactos e desafios dessa revolucionária regulamentação, bem como oferece recomendações para as empresas se adaptarem com sucesso.
Impactos da Nova Regra da SEC na Segurança Cibernética
Investimentos em Segurança Cibernética
As empresas listadas na SEC serão compelidas a investir em programas de segurança cibernética mais robustos e transparentes para atender aos requisitos da nova regulamentação, resultando em um aumento na segurança cibernética em todo o setor.
Avaliação de Riscos para Investidores
A nova regulamentação da SEC proporciona aos investidores acesso a informações mais detalhadas sobre as práticas de segurança cibernética das empresas, permitindo uma avaliação mais precisa do risco cibernético associado a cada investimento.
Requisitos da Nova Regra
- Descrição Abrangente dos Programas de Segurança Cibernética
As empresas devem fornecer uma descrição completa de seus programas de segurança cibernética, incluindo objetivos, escopo e estrutura.
- Avaliação de Riscos Cibernéticos
É necessário que as empresas avaliem todos os riscos cibernéticos aos quais estão expostas, abrangendo tanto riscos internos quanto externos.
- Medidas para Mitigar Riscos
As empresas devem documentar as medidas adotadas para mitigar os riscos cibernéticos identificados, promovendo uma postura proativa na segurança.
- Divulgação de Incidentes Significativos
A nova regulamentação exige que as empresas descrevam todos os incidentes de segurança cibernética significativos ocorridos nos últimos três anos, fomentando a prestação de contas.
Como Determinar se houve Materialidade em um incidente de Cibersegurança
A “materialidade” refere-se à importância ou relevância de um evento, ou informação em relação às decisões de investimento, ou tomada de decisão de um acionista, ou investidor. Em termos simples, um evento ou informação é considerado “material” quando pode influenciar substancialmente a decisão de alguém sobre se deve ou não investir em uma empresa ou como deve agir em relação a seus investimentos.
Determinar a “materialidade” de um incidente de segurança cibernética significa avaliar se esse incidente é relevante o suficiente para ser divulgado aos investidores e acionistas. A materialidade é um critério importante, pois nem todos os incidentes de segurança cibernética são igualmente importantes em termos de impacto nos negócios ou nas decisões dos investidores. Portanto, as empresas precisam avaliar se um incidente específico atende aos critérios de “materialidade” antes de decidir se devem ou não divulgá-lo de acordo com as regulamentações da SEC.
Desafios para as empresas com a nova regulamentação da SEC
Custos Financeiros
O investimento em segurança cibernética pode ser dispendioso, principalmente para pequenas e médias empresas que podem ter recursos limitados.
Complexidade da Regulamentação
As regras são complexas e podem ser desafiadoras de implementar, exigindo um profundo entendimento das melhores práticas em segurança cibernética.
Competência Técnica
As empresas precisarão ter a competência técnica necessária para implementar e manter programas de segurança cibernética eficazes.
Recomendações para cumprimento da regulamentação
Iniciar Preparativos Antecipados
As empresas devem começar a planejar a implementação das novas regras quanto antes para evitar atrasos na conformidade.
Consultoria Especializada
Consultores especializados em segurança cibernética será fundamental na implementação das novas regras.
Testes Periódicos
Realizar testes de segurança cibernética regularmente é crucial para garantir que os programas estejam conforme as novas regras.
Encare este desafio com um parceiro líder em segurança cibernética
A nova regulamentação da SEC representa uma mudança paradigmática na segurança cibernética, promovendo maior transparência e responsabilidade nas empresas listadas na bolsa de valores dos Estados Unidos.
Apesar dos desafios, as empresas têm a oportunidade de fortalecer sua segurança cibernética e proteger seus ativos e informações. Cumprir as novas regras exige ação proativa, mas o resultado é uma melhoria na segurança do mercado de capitais e na confiança dos investidores.
Nesse cenário desafiador de crescente regulamentação e necessidade de fortalecer a segurança cibernética, contar com uma parceira confiável é fundamental.
A Critical Security é uma empresa líder em cibersegurança, comprometida em ajudar empresas a atenderem às novas regras da SEC e aprimorarem suas práticas de segurança cibernética.
Oferecemos consultoria e serviços personalizados, expertise técnica e uma abordagem proativa para garantir que sua organização esteja preparada para enfrentar os desafios cibernéticos do futuro.
Entre em contato conosco pelo link: https://criticalsecurity.com.br/contato-2/
Leandro Malaquias
CISM, C|CISO, CISSP, ISO27K-LA
