O que os clientes querem e o que os reguladores exigem - AWSOrientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que os clientes querem e o que os reguladores exigem

Como objetivo de controle para o setor, a Comissão de Valores Mobiliários (SEC) dos EUA analisa a equidade do negócio, para o comprador e para a empresa-alvo, para garantir que não haja acordo forçado, fraude ou responsabilidade regulatória escapando.

Assim, a orientação da SEC afirmou que as corporações deveriam considerar divulgar informações materiais sobre riscos cibernéticos, não apenas em termos gerais, mas também incidente-a-incidente. A SEC sugeriu que uma corporação, ao determinar os contornos de sua divulgação, deveria pesar os seguintes fatores:

  • Frequência e gravidade de incidentes cibernéticos anteriores

  • Probabilidade de ocorrência de incidentes cibernéticos; custos e consequências potenciais (por exemplo, apropriação indevida de ativos ou informações confidenciais, corrupção de dados ou interrupção de operações)

  • Adequação das ações preventivas tomadas

  • Nível de risco de ataques ameaçados

A SEC sugeriu ainda que as empresas, dentro de seus registros corporativos, poderiam querer divulgar o seguinte, com base em suas circunstâncias e materialidade:

  • Aspectos dos negócios ou operações do registrante que dão origem a riscos materiais de segurança cibernética e os possíveis custos e consequências

  • Descrições de quaisquer funções terceirizadas que possam ter riscos materiais de segurança cibernética e como o registrante aborda esses riscos

  • Descrições de incidentes cibernéticos experimentados pelo registrante que são materiais individualmente, ou no agregado, incluindo um custo de incidente e resposta, incluindo investigação, penalidades e liquidações

  • Riscos relacionados a incidentes cibernéticos que podem permanecer despercebidos por um período prolongado

  • Descrição da cobertura da apólice de seguro de risco cibernético ou quaisquer contratos de transferência de risco relevantes

A SEC aplica regras para revendedores de corretores registrados pela SEC e consultores de investimentos, que são responsabilizados por proteger os dados dos clientes e garantir a precisão das divulgações de segurança cibernética. Embora não exista uma regra explícita da SEC para empresas que não estejam seguindo as diretrizes, o processo de fusões e aquisições e desinvestimento se tornará muito caro e demorado nesses casos, especialmente se a empresa vendedora encontrar um incidente cibernético e não divulgar os riscos ou sofrer mudanças no preço das ações . A Associação Nacional de Diretores Corporativos (NACD) recomenda que a gerência mantenha assuntos externos e conhecimentos jurídicos para seus planos de resposta a incidentes e receba atualizações regularmente. Para obter mais informações, consulteSupervisão de risco cibernético: Série de manuais do diretor(NACD, 2017).