La SEC endurecerá el ‘reporting’ de ciberseguridad

Fernando Rodríguez| La Securities and Exchange Commission (SEC), el regulador bursátil norteamericano, ha sometido a consulta pública de dos meses una batería de medidas para aumentar el contenido de los informes sobre ciberseguridad de las cotizadas. La SEC quiere “reforzar y estandarizar” la información facilitada sobre aspectos como la gestión del riesgo de ciberseguridad, la estrategia y gobernanza relacionada y el reporting sobre incidentes concretos en esta área.

Hay una preocupación creciente” sobre el hecho de que “los incidentes materiales de ciberseguridad están infrarreportados y de que los reportes actuales pueden no ser suficientemente oportunos”, argumenta la SEC. El regulador norteamericano propone que las cotizadas informen de los incidentes dentro de los 4 días laborables posteriores a que estos se hayan detectado sobre cuándo se descubrieron y cómo evolucionan, cuál es su naturaleza y alcance, si se accedió a datos de la compañía o estos fueron alterados, robados o utilizados para propósitos no autorizados, sus efectos sobre las operaciones de la compañía y las acciones adoptadas para remediarlos.

Asimismo, se pedirá más información periódica sobre las políticas y procedimientos para identificar y gestionar los riesgos de ciberseguridad, sobre el expertise concreto del consejo de administración en esta materia y sobre el sistema de vigilancia al respecto.

La SEC identifica, entre otros factores que han aumentado el riesgo en ciberseguridad, la digitalización de las operaciones, el teletrabajo como consecuencia de la pandemia del Covid19, la “habilidad de los cibercriminales monetizando los incidentes –como los mercados negros de datos robados y el uso de criptoactivos para estas transacciones-”, el crecimiento de los pagos digitales y el de los proveedores externos de servicios de información tecnológica incluyendo los de cloud computing.