As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O que os clientes querem e o que os reguladores exigem
Como objetivo de controle para o setor, a Comissão de Valores Mobiliários dos EUA (SEC) analisa a imparcialidade do negócio, para o comprador e para a empresa-alvo, para garantir que não haja negociação forçada, fraude ou fuga de responsabilidade regulatória.
Consequentemente, a orientação da SEC declarou que as corporações deveriam considerar a divulgação de informações materiais sobre riscos cibernéticos, não apenas em termos gerais, mas também em uma incident-by-incident base. A SEC sugeriu que uma corporação, ao determinar os contornos de sua divulgação, pesasse os seguintes fatores:
-
Frequência e gravidade de incidentes cibernéticos anteriores
-
Probabilidade de ocorrência de incidentes cibernéticos; possíveis custos e consequências (por exemplo, apropriação indevida de ativos ou informações confidenciais, corrupção de dados ou interrupção das operações)
-
Adequação das ações preventivas tomadas
-
Nível de risco de ataques ameaçados
A SEC sugeriu, ainda, que as empresas, em seus registros corporativos, poderiam divulgar o seguinte, com base em suas circunstâncias e materialidade:
-
Aspectos dos negócios ou operações do registrante que geram riscos materiais de segurança cibernética e os possíveis custos e consequências
-
Descrições de quaisquer funções terceirizadas que possam ter riscos materiais de segurança cibernética e como o registrante lida com esses riscos
-
Descrições de incidentes cibernéticos vivenciados pelo registrante que são materiais individuais ou agregados, incluindo o custo do incidente e da resposta, incluindo investigação, penalidades e acordos
-
Riscos relacionados a incidentes cibernéticos que podem permanecer sem serem detectados por um longo período
-
Descrição da cobertura da apólice de seguro de risco cibernético ou de quaisquer contratos de transferência de risco relevantes
A SEC aplica regras para corretoras e consultores de investimentos registrados na SEC, que são responsáveis por proteger os dados dos clientes e garantir a precisão das divulgações de segurança cibernética. Embora não exista uma regra explícita da SEC para empresas que não seguem as diretrizes, o processo de fusões e aquisições e alienação se tornará muito caro e demorado nesses casos, especialmente se a empresa vendedora enfrentar um incidente cibernético e não divulgar os riscos ou tiver sofrido mudanças no preço das ações. A National Association of Corporate Directors (NACD) recomenda que a gerência retenha assuntos externos e conhecimento jurídico para seus planos de resposta a incidentes e receba atualizações regularmente. Para obter mais informações, consulte Supervisão do risco cibernético: série de manuais do diretor