SEC DEFINE OBLIGACION PARA EMISORAS EXTRANJERAS DE NOTIFICAR INCIDENTES DE CIBERSEGURIDAD

Esta semana la SEC (Securities Exchange Commission o Comisión de Bolsas y Valores), regulador de los mercados de valores de EEUU, dictó las reglas definitivas por las cuales se les exige a las empresas registradas a revelar incidentes materiales de ciberseguridad así como aquella información material respecto a su gestión del riesgo de ciberseguridad, su estrategia y governanza en estas cuestiones. 

Esta norma también alcanza a los emisores extranjeros privados a los cuales exige la realización de declaraciones similares ante la SEC. 

Conforme la Securities Exchange Act de 1934, los emisores privados extranjeros deben realizar reportes anuales ante la SEC conocido como el Formulario 20-F (reporte similar que presentan empresas americanas es el Formulario 10-K) donde se acompañan reporte anual o reporte de transición y se suelen presentar a los cuatro meses de finalizado el año fiscal. 

Asimismo existe otra obligación de informar ante la SEC eventos imprevistos trascendentes como puede ser un pedido de quiebra, cambios en la cúpula directiva de una empresa, etc. Estas cuestiones se informan por las empresas americanas a través del formulario 8-K; en tanto que el formulario 6-K sirve para que los emisores extranjeros con obligaciones de presentar reportes financieros anuales, semestrales o trimestrales con los reguladores de su país,  a través de una simple declaración de portada se vean relevados de la obligación de realizar reportes dobles.

 Efectuada esta aclaración inicial sobre las obligaciones de reporte ante la SEC cabe precisar el alcance de las nuevas obligaciones de reporte, tanto para  empresas extranjeras, bajo las reglas definitivas de ciberseguridad recientemente emitidas por la SEC. 

Formulario 20-F: En su reporte anual las empresas extranjeras deberán agregar un item donde describa los procesos, en caso de existir, para evaluar, identificar y gestionar riesgos materiales de amenazas de ciberseguridad así como los efectos materiales de los riesgos de amenazas de ciberesguridad así como incidentes de ciberseguridad previos padecidos. Asimismo se debe precisar el rol de supervisión del Directorio sobre los riesgos de amenazas a la ciberseguridad y el rol y experiencia de la gerencia en la evaluación y gestión de los riesgos materiales de amenazas a la ciberseguridad. 

Formulario 6-K:  Se modificó de forma tal que permita exigir a las empresas extranjeras la presentación de información respecto a incidentes materiales de ciberseguridad padecidos y que se han vuelto públicos o son requeridos que se hagan públicos o cualquier otra forma de revelación exigida en jurisdicción extranjera a la respectiva autoridad regulador del mercado financiero o a los titulares de títulos valores. En dicho reporte se deberá informar los aspectos materiales de la naturaleza del incidente, alcance, tiempo de ocurrencia, así como impacto material sobre la empresa en cuestión. 

Dicho formulario debe ser presentado dentro de los 4 días de haberse considerado que el incidente es material, y no desde el momento que se toma conocimiento de la ocurrencia del incidente. Sin perjuicio de las presentaciones adicionales periódicas que mantengan actualizado el estado de situación respecto al incidente informado. Corresponde advertir que las reglas definitivas no brindan pautas respecto al criterio de definición de la materialidad de un incidente de ciberseguridad. 

Las referidas exigencias comenzarán a partir del 18 diciembre del corriente año en lo que concierne a informar incidentes materiales de cibereseguridad a través del formulario 6-K, en tanto que las obligaciones de registro bajo el formulario 20-F comenzarán con los reportes anuales correspondientes a años fiscales terminados a partir del 15 de diciembre de 2023. 

En atención a las nuevas obligaciones dispuestas aquellas empresas extranjeras sujetas a la jurisdicción de la SEC deberán antes del próximo diciembre: 

• Adoptar pasos para estar en cumplimiento con las reglas definitivas revisando el estado de preparación de información sobre seguridad haciendo foco en las políticas de ciberseguridad o de IT,que deben incluir al menos planes de respuesta frente a incidentes, de recuperación de desastres y continuidad del negocio.
• Efectuar mapeos de datos y activos que permitan identificar aquellos que resultan estratégicos para la compañía y en consecuencia merecen niveles elevados de protección.
• Probar con regularidad la efectividad y eficiencia de los planes de respuesta de incidentes.
• Verificar que cuentan con procedimientos que permitan la realización de investigaciones internas respecto a potenciales brechas o incidentes de ciberseguridad que permita brindar los detalles de este tipo de incidentes al responsable de efectuar en tiempo los reportes exigidos.
• Definir con precisión las obligaciones del Directorio o de algún comité ad hoc que tenga injerencia en la supervisión de las cuestiones de ciberseguridad.
• Establecer criterio razonable de materialidad de los incidentes de ciberseguridad que deberá considerar si un accionista razonable le incidiría en su decisión de realizar una inversión en la empresa o podría alterar significativamente la información puesta a disposición de los inversores.
• Ser sumamente cuidadoso en las declaraciones públicas efectuadas en diferentes jurisdicciones a la de Estados Unidos respecto a un incidente de ciberseguridad sufrido puesto que puede disparar la obligación de informar a la SEC bajo el formulario 6K.

Desde Crearis Latam podemos brindarte asesoramiento de cómo cumplir con esta nueva regulación aplicable a empresas extranjeras que realizan cotización de valores bajo la jurisdicción de la SEC en EEUU.