WASHINGTON (AP) — La Comisión de Bolsa y Valores de Estados Unidos adoptó el miércoles unas normas que requieren que las compañías públicas divulguen en un plazo de cuatro días todas las fallas de ciberseguridad que han padecido y que podrían afectar sus resultados finales.
Se permitirán demoras si la divulgación inmediata plantea graves riesgos para la seguridad nacional o la seguridad pública.
Las nuevas normas, aprobadas en una votación de 3 a favor y dos en contra, también exigen a las empresas que cotizan en bolsa que divulguen anualmente información sobre su gestión de los riesgos de ciberseguridad y la experiencia de sus ejecutivos en este campo. La idea es proteger a los inversores.
La divulgación de las violaciones puede retrasarse si el secretario de Justicia de Estados Unidos determina que “supondría un riesgo sustancial para la seguridad nacional o la seguridad pública” y la empresa lo notifica por escrito a la Comisión de Bolsa y Valores (SEC por sus siglas en inglés). Sólo en circunstancias extraordinarias podría prolongarse ese retraso más allá de 60 días.
“Que una empresa pierda una fábrica en un incendio -o millones de archivos en un incidente de ciberseguridad- puede ser material para los inversores”, dijo en un comunicado el presidente de la SEC, Gary Gensler, señalando la actual incoherencia en la divulgación de información.
Las normas aportarán “más transparencia a un riesgo que, de otro modo, sería opaco pero cada vez mayor” y podrían estimular la mejora de las ciberdefensas, aunque podrían suponer un reto mayor para las empresas más pequeñas con recursos limitados, señaló en un comunicado Lesley Ritter, vicepresidenta senior de Moody’s Investors Service.
Las normas se propusieron por primera vez en marzo de 2022, cuando la SEC determinó que las violaciones de las redes corporativas planteaban un riesgo cada vez mayor a medida que aumentaba la digitalización de las operaciones y el trabajo a distancia, así como el costo para los inversores de los incidentes de ciberseguridad.
Aunque algunos operadores de infraestructuras críticas y todos los proveedores de atención sanitaria deben informar por ley de las violaciones, no existe ninguna ley federal de divulgación de violaciones.
En un nuevo informe publicado por IBM, los investigadores descubrieron que las organizaciones pagan ahora una media de 4.5 millones de dólares para hacer frente a las brechas, lo que supone un aumento del 15% en los últimos tres años.
Los investigadores del Ponemon Institute también descubrieron que las empresas afectadas suelen repercutir los costes en los consumidores, que también pueden ser víctimas del robo de información personal.
