As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O que os clientes querem e o que os reguladores exigem
Como objetivo de controle para o setor, a Comissão de Valores Mobiliários (SEC) dos EUA analisa a equidade do negócio, para o comprador e para a empresa-alvo, para garantir que não haja acordo forçado, fraude ou responsabilidade regulatória escapando.
Assim, a orientação da SEC afirmou que as corporações deveriam considerar divulgar informações materiais sobre riscos cibernéticos, não apenas em termos gerais, mas também incidente-a-incidente. A SEC sugeriu que uma corporação, ao determinar os contornos de sua divulgação, deveria pesar os seguintes fatores:
-
Frequência e gravidade de incidentes cibernéticos anteriores
-
Probabilidade de ocorrência de incidentes cibernéticos; custos e consequências potenciais (por exemplo, apropriação indevida de ativos ou informações confidenciais, corrupção de dados ou interrupção de operações)
-
Adequação das ações preventivas tomadas
-
Nível de risco de ataques ameaçados
A SEC sugeriu ainda que as empresas, dentro de seus registros corporativos, poderiam querer divulgar o seguinte, com base em suas circunstâncias e materialidade:
-
Aspectos dos negócios ou operações do registrante que dão origem a riscos materiais de segurança cibernética e os possíveis custos e consequências
-
Descrições de quaisquer funções terceirizadas que possam ter riscos materiais de segurança cibernética e como o registrante aborda esses riscos
-
Descrições de incidentes cibernéticos experimentados pelo registrante que são materiais individualmente, ou no agregado, incluindo um custo de incidente e resposta, incluindo investigação, penalidades e liquidações
-
Riscos relacionados a incidentes cibernéticos que podem permanecer despercebidos por um período prolongado
-
Descrição da cobertura da apólice de seguro de risco cibernético ou quaisquer contratos de transferência de risco relevantes
A SEC aplica regras para revendedores de corretores registrados pela SEC e consultores de investimentos, que são responsabilizados por proteger os dados dos clientes e garantir a precisão das divulgações de segurança cibernética. Embora não exista uma regra explícita da SEC para empresas que não estejam seguindo as diretrizes, o processo de fusões e aquisições e desinvestimento se tornará muito caro e demorado nesses casos, especialmente se a empresa vendedora encontrar um incidente cibernético e não divulgar os riscos ou sofrer mudanças no preço das ações . A Associação Nacional de Diretores Corporativos (NACD) recomenda que a gerência mantenha assuntos externos e conhecimentos jurídicos para seus planos de resposta a incidentes e receba atualizações regularmente. Para obter mais informações, consulteSupervisão de risco cibernético: Série de manuais do diretor