Divulgação de segurança cibernética da SEC Lista de verificação de regulamentação

O que é a nova Norma de Divulgação de Segurança Cibernética da SEC?

A SEC (Comissão de Valores Mobiliários dos EUA) adotou novos requisitos de segurança cibernética para que empresas de capital aberto registradas na SEC divulguem incidentes de segurança cibernética "relevantes" e processos de gestão de riscos. A determinação da SEC aumenta a transparência e a responsabilização nos mercados financeiros em relação a incidentes de segurança cibernética. Também ajudará a compreender melhor o impacto potencial das ameaças cibernéticas nas operações e no desempenho financeiro.

Clique aqui para baixar a lista de verificação ou continue lendo para obter mais detalhes sobre o novo regulamento de segurança cibernética da SEC!

Quem é impactado pela Decisão de Segurança Cibernética da SEC?

A nova norma de segurança cibernética da SEC oferece aos consumidores transparência sobre violações de dados e fornece notificação imediata de incidentes de segurança cibernética. Como segurança cibernética e conformidade andam de mãos dadas, a mudança na norma da SEC afetará diversas partes interessadas:

• Os investidores precisarão de visibilidade sobre os níveis de risco, medidas de segurança e incidentes de segurança cibernética
• Os principais executivos precisarão avaliar suas gestão de postura de segurança de dados e trabalhar junto com as finanças e o jurídico para preparar seus registros anuais
• Os conselhos de administração devem adicionar especialistas em segurança cibernética para fornecer supervisão
• As equipes de segurança de dados precisarão fortalecer suas capacidades de detecção e relatórios de violações

Datas importantes de conformidade para a regra da SEC

Há datas específicas de conformidade que variam de acordo com o tipo de divulgação. Empresas de relatórios menores ("SRCs") têm um período de conformidade mais estendido para o relato de incidentes:

• Os prazos de divulgação começam para os anos fiscais que terminam após 15 de dezembro de 2023. Todos os registrantes devem fornecer divulgações começando com os relatórios anuais para o ano fiscal usando Formulário 10-K e Formulário 20-F divulgações de segurança cibernética.
• Para divulgação de incidentes materiais de segurança cibernética, as organizações devem estar em conformidade a partir de 18 de dezembro de 2023, utilizando Formulário 8-K e 6-K. Os SRCs têm 180 dias adicionais para cumprir e devem começar a cumprir até 15 de junho de 2024.
• Para os requisitos de dados estruturados (ou seja, marcação Inline XBRL), todos os registrantes (incluindo SRCs) devem começar a marcar suas divulgações de segurança cibernética no Formulário 10-K e Formulário 20-F em Inline XBRL para anos fiscais terminados em ou após 15 de dezembro de 2024. Todos os registrantes (incluindo SRCs) devem começar a marcar suas divulgações de incidentes de segurança cibernética materiais no Formulário 8-K e Formulário 6-K em Inline XBRL até 18 de dezembro de 2024.
• Emissores privados estrangeiros devem divulgar especificamente incidentes materiais de segurança cibernética no Formulário 6-K e sua estratégia de gerenciamento de risco de segurança cibernética e governança no Formulário 20-F.

Como as organizações podem cumprir os novos padrões de segurança cibernética da SEC?

As organizações agora devem divulgar suas políticas e processos de gestão de riscos no Formulário 10-K para cumprir os requisitos regulamentares. As informações necessárias para o Formulário 10-K incluem:

• Descrever e delinear o programa de risco de segurança cibernética
• Descrevendo o engajamento e as interações com terceiros
• Explicando as medidas tomadas para prevenir, detectar e mitigar incidentes cibernéticos
• Definição de estratégias para reduzir o risco de segurança cibernética
• Detalhando a continuidade e o plano de ação de recuperação caso ocorra uma violação
• Como o risco de segurança cibernética pode impactar a saúde financeira

As organizações também devem preencher o Formulário 8-K para relatar incidentes relevantes de segurança cibernética em até quatro dias úteis. O relato de incidentes abrange eventos específicos abrangidos pela norma de segurança cibernética da SEC, como informações comprometidas, ataques maliciosos, interrupções de sistema e eventos que levam a perdas financeiras.

Além disso, a SEC formalizou diretrizes para divulgação no que se refere a relatórios de violações. As organizações devem:

1. Divulgar a natureza da violação
2. Descreva o tipo de incidente de segurança cibernética
3. Forneça detalhes sobre todos os dados afetados
4. Detalhe o impacto nas operações gerais
5. Relatório sobre o status dos esforços de remediação

Lista de verificação de conformidade regulatória da SEC

A aplicação da lei de segurança cibernética da SEC está em vigor. Você concorda com a nova decisão?

Baixe a lista de verificação de conformidade da SEC para se concentrar nas áreas que você precisa priorizar para Gerenciamento de Riscos de Segurança Cibernética, Estratégia, Governança e Divulgação de Incidentes da SEC, incluindo como:

• Entenda os requisitos de segurança cibernética da SEC
• Descubra, mapeie, rotule e sinalize dados comerciais críticos e de alto risco para detectar, prevenir e mitigar riscos
• Analise dados violados e determine os conjuntos de dados pessoais sensíveis expostos.
• Cumpra os prazos e requisitos de notificação de violações da SEC de acordo com as residências impactadas.
• Gere relatórios de impacto de violações para reguladores e auditores.

Como o BigID ajuda organizações a prevenir e responder a incidentes de segurança cibernética para conformidade com a SEC

Qualquer estratégia de segurança de dados é uma tarefa multifacetada que envolve planejamento meticuloso, implementação e monitoramento contínuo. Mas tudo começa com total visibilidade e controle dos dados. BigID aproveita uma abordagem centrada em dados e consciente dos riscos para efetivamente melhorar a postura de segurança de dados, agilizar a remediação, garantir a conformidade, acelerar a resposta à violaçãoe, por fim, reduzir o risco de dados – em escala. Veja como o BigID ajuda as organizações a prevenir e responder a incidentes de segurança cibernética para atingir a conformidade com as novas regras e requisitos de segurança cibernética da SEC:

Prevenção de incidentes de segurança cibernética:

• Descobrir dados escuros, sombra, ROT, duplicados, semelhantes, não críticos para os negócios e muito mais.
• Mapa, rótulo, etiqueta e bandeira riscos e vulnerabilidades de dados sensíveis e de alto risco.
• Catalogar dados pessoais regulamentados, como PI e PII, de volta a uma identidade e residência.
• Identifique combinações de dados tóxicos de dois ou mais tipos de dados sensíveis coletados.
• Detecte segredos soltos, como chaves de API e credenciais através da nuvem e do código.

Resposta a incidentes de segurança cibernética:

• Analise dados violados e determine os conjuntos de dados pessoais sensíveis expostos.
• Identifique quais dados pessoais foram afetados por Tecnologia de mapeamento com reconhecimento de identidade da BigID.
• Identifique a origem dos dados para limitar as consequências.
• Cumpra os prazos e requisitos de notificação de violações de acordo com as residências impactadas.
• Gerar relatórios de impacto de violação para reguladores e auditores.

Agende uma reunião individual com um de nossos especialistas em segurança hoje mesmo para saber mais sobre como podemos ajudar você a atender à conformidade com a SEC!

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.