Qual é a nova decisão da SEC sobre divulgação de informações de segurança cibernética?
A SEC (Comissão de Valores Mobiliários dos EUA) adotou novos requisitos de cibersegurança para que empresas de capital aberto registradas na SEC divulguem incidentes de cibersegurança "relevantes" e seus processos de gestão de riscos. A exigência da SEC aumenta a transparência e a responsabilidade nos mercados financeiros em relação a incidentes de cibersegurança. Também ajudará a compreender melhor o impacto potencial das ameaças cibernéticas nas operações e no desempenho financeiro.
Clique aqui Para baixar a lista de verificação ou continuar lendo para obter mais detalhes sobre a nova regulamentação de segurança cibernética da SEC!
Quem é afetado pela decisão da SEC sobre segurança cibernética?
A nova regulamentação da SEC sobre cibersegurança oferece transparência aos consumidores em relação a violações de dados e proporciona notificação imediata de incidentes de cibersegurança. Como cibersegurança e conformidade estão intimamente ligadas, a mudança na regulamentação da SEC afetará diversas partes interessadas:
- Os investidores precisarão ter visibilidade sobre os níveis de risco, as medidas de segurança e os incidentes de cibersegurança.
- Os principais executivos precisarão avaliar seus gerenciamento da postura de segurança de dados e trabalhar em conjunto com as áreas de finanças e jurídica para preparar seus relatórios anuais.
- Os conselhos de administração devem incluir especialistas em cibersegurança para garantir a supervisão.
- As equipes de segurança de dados precisarão fortalecer suas capacidades de detecção e notificação de violações.
Principais datas de conformidade para a Regra da SEC
Existem datas de conformidade específicas que variam de acordo com o tipo de divulgação. As empresas de menor porte que reportam informações ("SRCs") têm um período de conformidade mais longo para o reporte de incidentes:
- Os prazos de divulgação começam para os exercícios fiscais que terminam após 15 de dezembro de 2023. Todos os registrantes devem fornecer divulgações a partir dos relatórios anuais para o exercício fiscal, utilizando [inserir aqui a forma de envio]. Formulário 10-K e Formulário 20-F divulgações de segurança cibernética.
- Para a divulgação de incidentes materiais de cibersegurança, as organizações devem cumprir as normas a partir de 18 de dezembro de 2023, utilizando [inserir aqui a forma de divulgação]. Formulário 8-K e 6-KOs SRCs têm mais 180 dias para se adequarem e devem começar a cumpri-los até 15 de junho de 2024.
- Para os requisitos de dados estruturados (ou seja, marcação XBRL embutida), todos os registrantes (incluindo as SRCs) devem começar a marcar suas divulgações de segurança cibernética nos Formulários 10-K e 20-F em XBRL embutida para os anos fiscais com término em ou após 15 de dezembro de 2024. Todos os registrantes (incluindo as SRCs) devem começar a marcar suas divulgações de incidentes materiais de segurança cibernética nos Formulários 8-K e 6-K em XBRL embutida até 18 de dezembro de 2024.
- Emissores privados estrangeiros devem divulgar especificamente incidentes materiais de segurança cibernética no Formulário 6-K e sua estratégia de gerenciamento de riscos de segurança cibernética e governança no Formulário 20-F.
Como as organizações podem cumprir as novas normas de cibersegurança da SEC?
Agora, as organizações devem divulgar suas políticas e processos de gerenciamento de riscos no Formulário 10-K para cumprir os requisitos da regulamentação. As informações necessárias para o Formulário 10-K incluem:
- Descrever e apresentar o programa de risco de cibersegurança.
- Descrição do envolvimento e das interações com terceiros.
- Explicar as medidas tomadas para prevenir, detectar e mitigar incidentes cibernéticos.
- Definir estratégias para reduzir o risco de cibersegurança
- Detalhar o plano de ação para continuidade e recuperação em caso de violação de dados.
- Como o risco de cibersegurança pode afetar a saúde financeira
As organizações também devem preencher o Formulário 8-K para relatar incidentes materiais de segurança cibernética em até quatro dias úteis. O relatório de incidentes consiste em eventos específicos abrangidos pela norma de segurança cibernética da SEC, como informações comprometidas, ataques maliciosos, interrupções de sistema e eventos que resultem em prejuízo financeiro.
Além disso, a SEC formalizou diretrizes para a divulgação de informações relacionadas à notificação de violações de dados. As organizações devem:
- Divulgue a natureza da violação.
- Descreva o tipo de incidente de cibersegurança.
- Forneça detalhes sobre todos os dados afetados.
- Detalhe o impacto nas operações gerais.
- Relatório sobre o andamento dos esforços de remediação
Lista de verificação de conformidade regulatória da SEC
A fiscalização da SEC sobre cibersegurança já está em vigor – você está em conformidade com a nova regulamentação?
Baixe a lista de verificação de conformidade com a SEC. Para se concentrar nas áreas que você precisa priorizar para a Gestão de Riscos de Segurança Cibernética, Estratégia, Governança e Divulgação de Incidentes da SEC, incluindo como:
- Entenda os requisitos de cibersegurança da SEC
- Descubra, mapeie, rotule e sinalize dados de negócios críticos e de alto risco para detectar, prevenir e mitigar riscos.
- Analise os dados violados e determine os conjuntos de dados pessoais sensíveis expostos.
- Cumpra os prazos e requisitos de notificação de violação de dados da SEC, de acordo com as residências afetadas.
- Gere relatórios de impacto de violações de dados para reguladores e auditores.
Como a BigID ajuda as organizações a prevenir e responder a incidentes de cibersegurança para fins de conformidade com a SEC.
Qualquer estratégia de segurança de dados é uma tarefa multifacetada que envolve planejamento meticuloso, implementação e monitoramento contínuo. Mas tudo começa com visibilidade e controle completos dos dados. BigID Adota uma abordagem centrada em dados e atenta aos riscos para ser eficaz. melhorar a postura de segurança de dados, simplificar a remediação, garantir a conformidade, acelerar a resposta à violaçãoe, em última análise, reduzir o risco de dados em grande escala. Veja como a BigID ajuda as organizações a prevenir e responder a incidentes de segurança cibernética para alcançar a conformidade com as novas regras e requisitos de segurança cibernética da SEC:
Prevenção de incidentes de cibersegurança:
- Descobrir Dados obscuros, sombras, ROT (repetidos, obscuros e irrelevantes), duplicados, semelhantes, não críticos para os negócios e muito mais.
- Mapa, rótulo, etiqueta e bandeira riscos e vulnerabilidades de dados sensíveis e de alto risco.
- Catalogar dados pessoais regulamentados, como PI e PII, de volta a uma identidade e residência.
- Identificar combinações de dados tóxicos de dois ou mais tipos de dados sensíveis coletados.
- Detectar segredos expostos, como chaves de API e credenciais. em toda a nuvem e código.
Resposta a incidentes de cibersegurança:
- Analise os dados violados e determine os conjuntos de dados pessoais sensíveis expostos.
- Identifique quais dados pessoais foram afetados por meio de Tecnologia de mapeamento com reconhecimento de identidade da BigID.
- Identificar a origem dos dados para limitar as consequências negativas.
- Cumpra os prazos e requisitos de notificação de violação de dados de acordo com as residências afetadas.
- Gerar relatórios de impacto de violações Para reguladores e auditores.
Agende hoje mesmo uma reunião individual com um de nossos especialistas em segurança. Para saber mais sobre como podemos ajudá-lo a cumprir as normas da SEC, entre em contato conosco!
Autor
