AP.- La Comisión de Bolsa y Valores de Estados Unidos adoptó este miércoles unas normas que requieren que las compañías públicas divulguen en un plazo de cuatro días todas las fallas de ciberseguridad que han padecido y que podrían afectar sus resultados finales. Se permitirán demoras si la divulgación inmediata plantea graves riesgos para la seguridad nacional o pública.
Las nuevas normas, aprobadas en una votación de tres a favor y dos en contra, también exigen a las empresas que cotizan en bolsa que divulguen anualmente información sobre su gestión de los riesgos de ciberseguridad y la experiencia de sus ejecutivos en este campo. La idea es proteger a los inversores.
Puedes leer: Estados Unidos tiene pruebas de vida extraterrestre desde 1930, afirma mando retirado de la Fuerza Aérea
La divulgación de las violaciones puede retrasarse si el secretario de Justicia de Estados Unidos determina que "supondría un riesgo sustancial para la seguridad nacional o la seguridad pública" y la empresa lo notifica por escrito a la Comisión de Bolsa y Valores (SEC por sus siglas en inglés). Sólo en circunstancias extraordinarias podría prolongarse ese retraso más allá de 60 días.
"Que una empresa pierda una fábrica en un incendio \u2014o millones de archivos en un incidente de ciberseguridad\u2014 puede ser material para los inversores", dijo en un comunicado el presidente de la SEC, Gary Gensler, señalando la actual incoherencia en la divulgación de información.
Las normas aportarán "más transparencia a un riesgo que, de otro modo, sería opaco pero cada vez mayor" y podrían estimular la mejora de las ciberdefensas, aunque podrían suponer un reto mayor para las empresas más pequeñas con recursos limitados, señaló en un comunicado Lesley Ritter, vicepresidenta senior de Moody's Investors Service.
Las normas se propusieron por primera vez en marzo de 2022, cuando la SEC determinó que las violaciones de las redes corporativas planteaban un riesgo cada vez mayor a medida que aumentaba la digitalización de las operaciones y el trabajo a distancia, así como el costo para los inversores de los incidentes de ciberseguridad.
Aunque algunos operadores de infraestructuras críticas y todos los proveedores de atención sanitaria deben informar por ley de las violaciones, no existe ninguna ley federal que las regule.
Recomendamos: Hunter Biden no logra acuerdo con la fiscalía y retira su declaración de culpabilidad por delitos fiscales
En un nuevo informe publicado por IBM, los investigadores descubrieron que las organizaciones pagan ahora una media de 4.5 millones de dólares para hacer frente a las brechas, lo que supone un aumento del 15% en los últimos tres años.
Los investigadores del Ponemon Institute también descubrieron que las empresas afectadas suelen repercutir los costos en los consumidores, que también pueden ser víctimas del robo de información personal.