SEC Adota Novos Requisitos de Divulgação de Cibersegurança

Isabel Costa Carvalho, Felipe Lacerda, David Contreiras Tyler
Hogan Lovells
Contact
LinkedIn
Facebook
X
Send
Embed

Hogan Lovells[co-author: Sophia Toscano de Maio]

A Comissão de Valores Mobiliários (SEC) recentemente promulgou regras finais relativas à divulgação de informações relacionadas à cibersegurança. Quando essas regras entrarem em vigor, as empresas emissoras estrangeiras privadas serão obrigadas a divulgar, por meio do Formulário 6-K, incidentes relevantes de cibersegurança, bem como fornecer informações sobre sua gestão, estratégia e governança de riscos de cibersegurança no Formulário 20-F.

A SEC introduziu várias alterações significativas em relação às regras originalmente propostas, em resposta a mais de 150 comentários recebidos incluindo as seguintes:

  • a eliminação da exigência de divulgação da experiência de membro do conselho de administração em cibersegurança nas divulgações anuais (eg. 20-F) e redução das divulgações exigidas sobre gerenciamento de riscos, estratégia e governança; e
  • mudanças substanciais nas regras propostas relacionadas à divulgação de incidentes, com um foco maior nos impactos dos incidentes relevantes de cibersegurança, em vez de exigir detalhes sobre os incidentes em si.

Vejam orientação preparada por nosso escritório em relação às regras finais de divulgação de cibersegurança da SEC neste link.

Abaixo está um resumo das disposições mais relevantes dessas novas regras, especificamente aplicadas a empresas emissoras estrangeiras consideradas foreign private issuers no âmbito das regras da SEC.

Data de Cumprimento Obrigatório:

As empresas serão obrigadas a implementar as novas regras de divulgação em seus Formulários 6-K a partir de 90 dias após a publicação das regras ou em 18 de dezembro de 2023, o que ocorrer por último. Já as novas regras de divulgação do Formulário 20-F deverão começar nos relatórios anuais referentes aos exercícios encerrados após 15 de dezembro de 2023. Portanto, esses novos requisitos de divulgação serão aplicáveis no próximo Formulário 20-F para companhias com o ano fiscal que termina no dia 31 de dezembro de 2023, a ser entregue até 30 de abril de 2024. É importante observar que essas regras têm um caráter prospectivo, ou seja, aplicam-se a eventos que ocorram após o período de cumprimento obrigatório.

Visão Geral das Alterações nas Regras:

A intenção por trás das novas regras é fornecer aos investidores informações mais consistentes e comparáveis, facilitando a tomada de decisões, especialmente à luz do aumento do risco de ameaças à cibersegurança para empresas de capital aberto. Segue destaques abaixo:

  • Divulgação no Formulário 6-K: O Formulário 6-K foi modificado para incluir a categoria de "incidentes de segurança cibernética materiais" como um tópico que acionaria a obrigação de arquivamento. O Formulário 6-K requer que as empresas que prestam informações façam um arquivamento sempre que se tornem obrigadas a divulgar essas informações, seja de acordo com as leis de sua jurisdição de origem, as regras de bolsas de valores ou tendo em vista a distribuição de títulos mobiliários a investidores. É importante notar que a nova regra não exige a divulgação de todos os incidentes de segurança cibernética, mas apenas daqueles que se encaixam nos critérios estabelecidos, incluindo incidente de segurança cibernética cuja empresa determina ser relevante, além de atender aos outros critérios estabelecidos (relacionados às obrigações em sua jurisdição de origem, às regras das bolsas de valores ou à distribuição de informações aos detentores de títulos de valores mobiliários).

Uma vez que as exigências de divulgação estejam em vigor em relação ao Formulário 6-K, os relatórios devem ser fornecidos imediatamente após a divulgação pública das informações relevantes, de acordo com a lei do país de origem da empresa, regras de bolsa de valores ou relativa a distribuição aos detentores de títulos de valores mobiliários. É importante destacar que isso difere das exigências aplicadas às empresas norte-americanas que utilizam o Formulário 8-K, as quais geralmente são obrigadas a apresentar um relatório no Formulário 8-K dentro de quatro dias úteis após o evento que desencadeia a obrigação de divulgação, no caso, um incidente de segurança cibernética relevante.

  • Divulgação no Formulário 20-F: O Formulário 20-F foi modificado para incluir o novo Item 16K, que exige que as empresas estrangeiras forneçam informações sobre sua governança de segurança cibernética, bem como suas políticas e procedimentos para identificação e gerenciamento de riscos de segurança cibernética. As empresas deverão descrever os seguintes elementos:
  • seus processos, quando existentes, para avaliar, identificar e gerenciar riscos materiais relacionados a ameaças à segurança cibernética, com detalhes suficientes para permitir que um investidor razoável compreenda esses processos. Isso inclui a descrição da abordagem utilizada, quando aplicável, em relação a uma lista não exaustiva de itens de divulgação, tais como:
    • Como esses processos foram integrados ao sistema ou processo geral de gerenciamento de riscos da empresa;
    • Se a empresa contrata consultores, auditores ou terceiros para lidar com esses processos; e
    • Se existem processos para supervisionar e identificar riscos relacionados à segurança cibernética associados ao uso de fornecedores de serviços terceirizados.
  • se algum risco decorrente de ameaças à segurança cibernética, inclusive como resultado de incidentes anteriores de segurança cibernética, afetou materialmente ou tem probabilidade razoável de afetar materialmente a empresa, incluindo sua estratégia de negócios, resultados operacionais ou condição financeira. Se a resposta for afirmativa, deve-se explicar como isso ocorreu.
    • a supervisão do conselho de administração sobre os riscos relacionados a ameaças à segurança cibernética, incluindo a identificação de qualquer comitê do conselho responsável pela supervisão desses riscos e uma descrição dos processos pelos quais o conselho ou esse comitê recebe informações sobre esses riscos.
    • O papel e a experiência da administração no que diz respeito à avaliação e ao gerenciamento de riscos materiais decorrentes de ameaças à segurança cibernética. Isso inclui, quando aplicável, detalhes sobre os cargos da administração ou comitês responsáveis por avaliar e gerenciar esses riscos, bem como a relevância da experiência dessas pessoas ou membros. Também deve-se descrever os processos pelos quais essas pessoas ou comitês são informados e monitoram a prevenção, detecção, mitigação e correção de incidentes de segurança cibernética. Se essas pessoas ou comitês relatam informações sobre esses riscos ao conselho de administração ou a um comitê ou subcomitê do conselho de administração.
  • Inline XBRL: As novas regulamentações requerem que as empresas marquem (“tag”) as informações em seus Formulários 20-F conforme descrito no Item 16K mencionado acima. Essa exigência de dados estruturados abrange a marcação de texto em bloco para divulgações narrativas e a marcação de detalhes relacionados a valores quantitativos. O Inline XBRL é uma linguagem de dados estruturados que permite as empresas emissoras preparar um único documento legível tanto por seres humanos quanto por máquinas. Portanto, uma empresa precisa preparar apenas um documento Inline XBRL, em vez de gerar um documento HTML separado para demonstrações financeiras e outras informações selecionadas e, em seguida, marcar uma cópia dos dados para criar um documento XBRL distinto. As empresas devem cumprir esses requisitos de dados estruturados a partir de um ano após a divulgação obrigatória inicial (ou seja, o 20-F a ser protocolado até o dia 24 de abril de 2024).

Como Determinar se houve um "Incidente de Segurança Cibernética" Relevante

Para fins das novas regulamentações, a SEC definiu um "incidente de segurança cibernética" que poderia acionar obrigações de divulgação como "uma ocorrência não autorizada, ou uma série de ocorrências não autorizadas relacionadas, nos sistemas de informação de um emissor que comprometam a confidencialidade, integridade ou disponibilidade dos sistemas de informação de um emissor ou de qualquer informação que neles resida".

As regulamentações finais não incluem uma definição de "materialidade" no contexto de um incidente de segurança cibernética. Para determinar se um evento é "material" ou seja, relevante, o incidente deve ser avaliado com base nas informações disponíveis. Utilizando o padrão estabelecido pelas leis federais de valores mobiliários dos Estados Unidos, a materialidade seria caracterizada por um evento com uma probabilidade substancial de que um investidor ou acionista que atue de forma razoável considere o evento importante para sua tomada de decisão de investimento ou que o mesmo altere de forma significativa o conjunto total de informações disponíveis para sua tomada de decisão. Essa determinação de materialidade deve levar em consideração fatores quantitativos e qualitativos.

A SEC também forneceu orientações quanto ao efeito cumulativo dos ataques cibernéticos, indicando que uma empresa pode determinar que foi afetada materialmente por uma série de incidentes de segurança cibernética relacionados, mesmo que cada ataque , considerado isoladamente, seja de natureza imaterial. Uma lista não exaustiva de exemplos fornecidos pela SEC inclui: (i) a atuação do mesmo agente mal-intencionado em uma série de ataques cibernéticos menores, porém contínuos, contra a mesma empresa, os quais, considerados coletivamente, podem ser considerados relevantes tanto quantitativa quanto qualitativamente; e (ii) uma série de ataques relacionados de vários agentes que exploram a mesma vulnerabilidade nos sistemas da empresa e, considerados coletivamente, têm um impacto material nos negócios da empresa.

Nossa equipe dedicada de profissionais altamente qualificados na área de segurança cibernética e de mercado de capitis está à disposição para auxiliá-los na compreensão dessas novas regras e dos diversos aspectos necessários para a implementação dos procedimentos exigidos para seu fiel cumprimento.

[View source.]

Send Print Report

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Hogan Lovells | Attorney Advertising

Written by:

Hogan Lovells
Hogan Lovells
Contact
more
less

PUBLISH YOUR CONTENT ON JD SUPRA NOW

  • Increased visibility
  • Actionable analytics
  • Ongoing guidance

Hogan Lovells on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
Sign Up Log in
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide