SEC Adota Novos Requisitos de Divulgação de Cibersegurança

A SEC introduziu várias alterações significativas em relação às regras originalmente propostas, em resposta a mais de 150 comentários recebidos incluindo as seguintes:

• a eliminação da exigência de divulgação da experiência de membro do conselho de administração  em cibersegurança nas divulgações anuais (eg. 20-F) e redução das divulgações exigidas sobre gerenciamento de riscos, estratégia e governança; e
• mudanças substanciais nas regras propostas relacionadas à divulgação de incidentes, com um foco maior nos impactos dos incidentes relevantes de cibersegurança, em vez de exigir detalhes sobre os incidentes em si.

Vejam  orientação preparada por nosso escritório em relação às regras finais de divulgação de cibersegurança da SEC neste link.

Abaixo está um resumo das disposições mais relevantes dessas novas regras, especificamente aplicadas a empresas emissoras estrangeiras consideradas foreign private issuers no âmbito das regras da SEC.

Data de Cumprimento Obrigatório:

As empresas serão obrigadas a implementar as novas regras de divulgação em seus  Formulários 6-K  a partir de 90 dias após a publicação das regras  ou em 18 de dezembro de 2023, o que ocorrer por último. Já as novas regras de divulgação  do Formulário 20-F deverão começar nos relatórios anuais referentes aos exercícios encerrados após 15 de dezembro de 2023. Portanto, esses novos requisitos de divulgação serão aplicáveis no próximo Formulário 20-F para companhias com o  ano fiscal que termina no dia 31 de dezembro de 2023, a ser entregue até 30 de abril de 2024. É importante observar que essas regras têm um caráter prospectivo, ou seja, aplicam-se a eventos que ocorram após o período de cumprimento obrigatório.

Visão Geral das Alterações nas Regras:

A intenção por trás  das novas regras é fornecer aos investidores informações mais consistentes e comparáveis, facilitando a tomada de decisões, especialmente à luz do aumento do risco de ameaças à cibersegurança para empresas de capital aberto. Segue destaques abaixo:

• Divulgação no Formulário 6-K: O Formulário 6-K foi modificado para incluir a categoria de "incidentes de segurança cibernética materiais" como um tópico  que acionaria a obrigação de arquivamento. O Formulário 6-K requer que as empresas que prestam informações façam um arquivamento sempre que se tornem obrigadas a divulgar essas informações, seja de acordo com as leis de sua jurisdição de origem, as regras de bolsas de valores ou tendo em vista a distribuição de títulos mobiliários a investidores. É importante notar que a nova regra  não exige a divulgação de todos os incidentes de segurança cibernética, mas apenas daqueles que se encaixam nos critérios estabelecidos, incluindo incidente de segurança cibernética cuja empresa  determina ser relevante, além de atender aos outros critérios estabelecidos (relacionados às obrigações em sua jurisdição de origem, às regras das bolsas de valores ou à distribuição de informações aos detentores de títulos de valores mobiliários).

Uma vez que as exigências de divulgação estejam em vigor em relação ao Formulário 6-K, os relatórios devem ser fornecidos imediatamente após a divulgação pública das informações relevantes, de acordo com a lei do país de origem da empresa, regras de bolsa de valores ou relativa a distribuição aos detentores de títulos de valores mobiliários. É importante destacar que isso difere das exigências aplicadas às empresas norte-americanas que utilizam o Formulário 8-K, as quais geralmente são obrigadas a apresentar um relatório no Formulário 8-K dentro de quatro dias úteis após o evento que desencadeia a obrigação de divulgação, no caso, um incidente de segurança cibernética relevante.

• Divulgação no Formulário 20-F: O Formulário 20-F foi modificado para incluir o novo Item 16K, que exige que as empresas estrangeiras forneçam informações  sobre sua governança de segurança cibernética, bem como suas políticas e procedimentos para identificação e gerenciamento de riscos de segurança cibernética. As empresas deverão descrever os seguintes elementos:

• • seus processos, quando existentes, para avaliar, identificar e gerenciar riscos materiais relacionados a ameaças à segurança cibernética, com detalhes suficientes para permitir que um investidor razoável compreenda esses processos. Isso inclui a descrição da abordagem utilizada, quando aplicável, em relação a uma lista não exaustiva de itens de divulgação, tais como:

• • • Como esses processos foram integrados ao sistema ou processo geral de gerenciamento de riscos da empresa;
    • Se a empresa contrata consultores, auditores ou terceiros para lidar com esses processos; e
    • Se existem processos para supervisionar e identificar riscos relacionados à segurança cibernética associados ao uso de fornecedores de serviços terceirizados.

• • se algum risco decorrente de ameaças à segurança cibernética, inclusive como resultado de incidentes anteriores de segurança cibernética, afetou materialmente ou tem probabilidade razoável de afetar materialmente a empresa, incluindo sua estratégia de negócios, resultados operacionais ou condição financeira. Se a resposta for afirmativa, deve-se explicar como isso ocorreu.

• • a supervisão do conselho de administração sobre os riscos relacionados a ameaças à segurança cibernética, incluindo a identificação de qualquer comitê do conselho responsável pela supervisão desses riscos e uma descrição dos processos pelos quais o conselho ou esse comitê recebe informações sobre esses riscos.

• • O papel e a experiência da administração no que diz respeito à avaliação e ao gerenciamento de riscos materiais decorrentes de ameaças à segurança cibernética. Isso inclui, quando aplicável, detalhes sobre os cargos da administração ou comitês responsáveis por avaliar e gerenciar esses riscos, bem como a relevância da experiência dessas pessoas ou membros. Também deve-se descrever os processos pelos quais essas pessoas ou comitês são informados e monitoram a prevenção, detecção, mitigação e correção de incidentes de segurança cibernética. Se essas pessoas ou comitês relatam informações sobre esses riscos ao conselho de administração ou a um comitê ou subcomitê do conselho de administração.

• Inline XBRL: As novas regulamentações requerem que as empresas marquem (“tag”) as informações em seus Formulários 20-F conforme descrito no Item 16K mencionado acima. Essa exigência de dados estruturados abrange a marcação de texto em bloco para divulgações narrativas e a marcação de detalhes relacionados a valores quantitativos. O Inline XBRL é uma linguagem de dados estruturados que permite as empresas emissoras  preparar um único documento legível tanto por seres humanos quanto por máquinas. Portanto, uma empresa precisa preparar apenas um documento Inline XBRL, em vez de gerar um documento HTML separado para demonstrações financeiras e outras informações selecionadas e, em seguida, marcar uma cópia dos dados para criar um documento XBRL distinto. As empresas devem cumprir esses requisitos de dados estruturados a partir de um ano após a divulgação obrigatória inicial (ou seja, o 20-F a ser protocolado até o dia 24 de abril de 2024).

Como Determinar se houve  um "Incidente de Segurança Cibernética" Relevante

Para fins das novas regulamentações, a SEC definiu um "incidente de segurança cibernética" que poderia acionar obrigações de divulgação como "uma ocorrência não autorizada, ou uma série de ocorrências não autorizadas relacionadas, nos sistemas de informação de um emissor que comprometam a confidencialidade, integridade ou disponibilidade dos sistemas de informação de um emissor ou de qualquer informação que neles resida".

As regulamentações finais não incluem uma definição de "materialidade" no contexto de um incidente de segurança cibernética. Para determinar se um evento é "material" ou seja, relevante, o incidente deve ser avaliado com base nas informações disponíveis. Utilizando o padrão estabelecido pelas leis federais de valores mobiliários dos Estados Unidos, a materialidade seria caracterizada por um evento com uma probabilidade substancial de que um investidor ou acionista que atue de forma razoável considere o evento importante para sua tomada de decisão de investimento ou que o mesmo  altere de forma significativa o conjunto total de informações disponíveis para sua tomada de decisão. Essa determinação de materialidade deve levar em consideração fatores quantitativos e qualitativos.

A SEC também forneceu orientações quanto ao efeito cumulativo dos ataques cibernéticos, indicando que uma empresa pode determinar que foi afetada materialmente por uma série de incidentes de segurança cibernética relacionados, mesmo que cada ataque , considerado isoladamente, seja de natureza imaterial. Uma lista não exaustiva de exemplos fornecidos pela SEC inclui: (i) a atuação do mesmo agente mal-intencionado em uma série de ataques cibernéticos menores, porém contínuos, contra a mesma empresa, os quais, considerados coletivamente, podem ser considerados relevantes tanto quantitativa quanto qualitativamente; e (ii) uma série de ataques relacionados de vários agentes que exploram a mesma vulnerabilidade nos sistemas da empresa e, considerados coletivamente, têm um impacto material nos negócios da empresa.

Nossa equipe dedicada de profissionais altamente qualificados na área de segurança cibernética e de mercado de capitis está à disposição para auxiliá-los na compreensão dessas novas regras e dos diversos aspectos necessários para a implementação dos procedimentos exigidos para seu fiel cumprimento.

Autoria de Isabel Costa Carvalho, David Tyler, Felipe Lacerda e  Sophia Toscano de Maio. 

*Hogan Lovells é registrado e licenciado como consultor jurídico estrangeiro na Ordem dos Advogados do Brasil. De acordo com as regras da Ordem dos Advogados do Brasil, Hogan Lovells não pratica a lei brasileira e a discussão acima sobre leis, regras e/ou regulamentos brasileiros foi obtida de fontes disponíveis ao público e é apenas para fins informativos. A discussão acima é limitada pela natureza de nossa prática no Brasil e é exclusivamente derivada de informações publicamente disponíveis. As informações aqui contidas não devem ser interpretadas como aconselhamento jurídico ou, de outra forma, substituir o aconselhamento fornecido por profissionais licenciados para praticar a lei brasileira.