La gestión de la seguridad cibernética se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.
Venimos dando cuenta en este Blog, y en algunos otros foros, de la creciente relevancia de los riesgos cibernéticos en el diseño, valoración y en su caso, sanciones (ver esta entrada), en materia de gobierno corporativo. Los asuntos que aquí se presentan brevemente son objeto de atención en modo más amplio en el contexto del Congreso Latinoamericano INTELIGENCIA ARTIFICIAL Y ECONOMÍA DIGITAL: desafíos jurídicos y económicos (13 al 15 octubre 2021) y en una publicación ya en imprenta de la que se dará cuenta.
Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad
Regulación prevista
Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC, el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes, en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.
La Agenda ReEgFlez mencionada, ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de ataques cibernéticos y la posibilidad de infección por ransomware, es más que posible que la SEC pueda proponer enmiendas a sus Rules de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.
Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética
Con anterioridad, la Guía de la SEC de 2018 sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.