SEC Cyber Regulation Efforts: A Mid-Year Review

Esfuerzos de regulación cibernética de la SEC: una revisión de mitad de año

2022 no está ni siquiera a la mitad, y la Comisión de Bolsa y Valores (SEC) ya lo ha convertido en un año excepcional para los esfuerzos de la SEC para dar forma a la política de seguridad cibernética. Esta alerta destaca los desarrollos cibernéticos de este año hasta la fecha y los probables esfuerzos regulatorios futuros de la SEC en este espacio.

Enero: el presidente Gensler presenta una hoja de ruta para la regulación cibernética

Para dar inicio al año del enfoque de la SEC en la política de seguridad cibernética, el 24 de enero, el presidente de la SEC, Gary Gensler, dio el discurso de apertura en el Instituto Regulador de Valores de 2022. Destacando el riesgo de ataques cibernéticos y destacando los esfuerzos de seguridad cibernética de la administración Biden, el presidente Gensler describió seis áreas diferentes en las que el personal de la SEC estaba considerando regulaciones cibernéticas nuevas o revisadas. Estas áreas fueron (1) informes de seguridad cibernética y regulaciones de mantenimiento de registros para fondos de inversión, asesores y corredores, (2) requisitos de informes de eventos de seguridad cibernética para empresas públicas, (3) requisitos de divulgación de gestión de riesgos de seguridad cibernética para empresas públicas, (4) fortalecimiento de los requisitos cibernéticos del Reglamento ICS para las denominadas entidades ICS, como bolsas y sistemas de negociación alternativos, (5) requisitos de notificación de violación de datos para corredores y otras entidades que procesan datos de consumidores financieros regidos por el Reglamento SP, y (6) requisitos de divulgación del riesgo de ciberseguridad planteado por los proveedores de servicios del sector financiero, incluidos los proveedores de la nube.

Febrero: propuesta de asesores y fondos

El 9 de febrero, la SEC hizo su primera propuesta cibernética del año cuando ofertas nuevas reglas de ciberseguridad para asesores de inversión registrados (“asesores”), sociedades de inversión y sociedades de desarrollo empresarial (“fondos”). Estas reglas propuestas requerirían que los asesores y los fondos (1) adopten políticas y procedimientos de seguridad cibernética por escrito, (2) divulguen públicamente los incidentes y riesgos de seguridad cibernética a los clientes, (3) mantengan libros y registros relacionados con la seguridad cibernética. Además, se requeriría que los asesores presenten un informe confidencial ante la SEC dentro de las 48 horas de incidentes significativos de seguridad cibernética.

Marzo: Propuesta que exige la divulgación de ciberincidentes y riesgos de las empresas públicas

La SEC siguió su propuesta con otra; el 9 de marzo, el ofertas reglas que requerirían que todas las empresas públicas divulguen (1) incidentes materiales de seguridad cibernética y (2) sus procedimientos de gestión, estrategia y gobierno de riesgos de seguridad cibernética. En particular, la propuesta requeriría que las empresas presenten un formulario de divulgación pública cuando experimenten un “incidente de seguridad cibernética significativo” dentro de los cuatro días hábiles posteriores a que la empresa determine que el incidente es material. El período de informe de cuatro días hábiles de la propuesta “no proporcionaría un período de informe en el que haya una investigación interna o externa en curso relacionada con el incidente de seguridad cibernética” y la SEC reconoce que “es posible que una entidad registrada deba divulgar el incidente en el Formulario 8-K a pesar de que el registrante puede retrasar el reporte de un incidente bajo una ley estatal en particular.

Abril: el presidente Gensler reitera la hoja de ruta

El 14 de abril, el presidente Gensler hizo Observaciones sobre la política de seguridad cibernética de la SEC antes de una reunión conjunta del Comité de Infraestructura de Información Bancaria y Financiera y el Consejo de Coordinación de la Industria de Servicios Financieros. Sus comentarios de abril mencionaron las mismas áreas de regulación potencial que mencionó en su discurso de febrero. Sin embargo, para abril, la SEC había dado seguimiento y anunciado dos propuestas que cubrían los temas mencionados por el presidente Gensler.

Otras áreas de la hoja de ruta del presidente Gensler son: (1) informes de seguridad cibernética y regulaciones de mantenimiento de registros para corredores, (2) fortalecimiento de los requisitos regulatorios de SCI cibernéticos para las llamadas entidades ICS, como bolsas y sistemas de negociación alternativos, (3) requisitos de notificación de violación de datos para corredores y otras entidades que manejan datos financieros del consumidor regidos por el Reglamento SP, y (4) requisitos de notificación de violación de datos para la divulgación del riesgo de seguridad cibernética que plantean los proveedores de servicios de la industria financiera, incluidos los proveedores de la nube.

Mayo: mayores capacidades de aplicación

Más recientemente, el 3 de mayo, la SEC anuncio que su Unidad de activos criptográficos y cibernéticos, anteriormente solo la Unidad cibernética, casi se duplicaría de 30 puestos de aplicación dedicados a 50. Aunque el anuncio de la SEC se centró en aumentar la capacidad de las criptomonedas, el unidad de enfoque también incluye la aplicación de violaciones de “controles de ciberseguridad en entidades reguladas” y “divulgaciones por parte de emisores de incidentes y riesgos de ciberseguridad”. Con las regulaciones de seguridad cibernética que se han propuesto y las que probablemente se impondrán en el futuro, puede haber nuevos requisitos de detección y divulgación de seguridad cibernética para la unidad SEC recientemente ampliada en la policía.

© Copyright 2022 Squire Patton Boggs (EE. UU.) LLPRevista de Derecho Nacional, Tomo XII, Número 159

#SEC #Cyber #Regulation #Efforts #MidYear #Review

Leave a Comment

Your email address will not be published.