Cumplimiento legal

Requisitos de divulgación de ciberseguridad de la SEC: cumplimiento y confianza

Por Maria Jose Castro L
8 min
Por Maria Jose Castro L
8 min
Ciberseguridad
Cumplimiento SEC
Requisitos legales
Gobierno corporativo

Panorama general

La U.S. Securities and Exchange Commission (SEC) implementó nuevas reglas de divulgación de ciberseguridad para aumentar la transparencia y la responsabilidad entre empresas públicas. Estas reglas exigen reporte oportuno de incidentes materiales de ciberseguridad, prácticas de gobernanza y estrategias de gestión de riesgos. Vigentes desde diciembre de 2023, enfatizan el papel crítico de la ciberseguridad en gobierno corporativo y estrategia empresarial, incluyendo a smaller reporting companies (SRC).

Hallazgos clave

  • Los riesgos de ciberseguridad son cada vez más materiales para decisiones de inversionistas, lo que impulsa divulgaciones estandarizadas
  • Muchas empresas carecen de procesos integrados para evaluar materialidad y garantizar reporte oportuno de incidentes
  • Las SRC enfrentan desafíos únicos pero están igualmente sujetas a estos requisitos

El 48% de las empresas públicas no cuenta con un Chief Information Security Officer (CISO) dedicado o equipo interno de ciberseguridad, lo que las expone a mayores riesgos.

Llamado a la acción

Las organizaciones deben adaptarse con rapidez:

  • Invertir en infraestructura y marcos de gobernanza de ciberseguridad robustos
  • Alinear procesos internos y externos para evaluar y divulgar incidentes materiales
  • Colaborar entre TI, legal y cumplimiento para estar preparados

Introducción

La adopción por la SEC de reglas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes es una actualización regulatoria importante. La SEC exige que todas las empresas públicas sujetas a la Securities Exchange Act of 1934 cumplan, incluyendo empresas domésticas y foreign private issuers.

Todas las empresas cotizadas en bolsas de EE. UU., sin importar industria o tamaño, deben cumplir, pero solo divulgan incidentes que alcancen el umbral de materialidad —aquellos con potencial de impacto significativo en posición financiera, reputación u operaciones. Como explicó el presidente de la SEC Gary Gensler, «Ya sea que una empresa pierda una fábrica en un incendio o millones de archivos en un incidente de ciberseguridad, puede ser material para los inversionistas».

La materialidad suele evaluarse con equipos legal y de cumplimiento, en estrecha colaboración con ciberseguridad, que aporta alcance, severidad e impacto operativo.

Un aspecto notable es la aplicación a smaller reporting companies (SRC). La Comisión señaló que «las empresas más pequeñas pueden enfrentar riesgos de ciberseguridad iguales o mayores, de modo que las divulgaciones pueden ser especialmente importantes para sus inversionistas». Una SRC debe cumplir uno de los criterios de tamaño aplicables:

img

Requisitos de la SEC

Las nuevas reglas buscan brindar a inversionistas información oportuna y relevante sobre prácticas de ciberseguridad y gestión de incidentes. Al estandarizar divulgaciones, la SEC pretende aumentar la confianza del inversionista. El incumplimiento puede derivar en acciones de cumplimiento, sanciones y consecuencias reputacionales.

Estas reglas refuerzan que la ciberseguridad es componente crítico de estrategia empresarial y gobierno corporativo, con participación activa de juntas y ejecutivos.

La SEC exige (1) divulgaciones anuales en Form 10-K sobre procesos para identificar, evaluar y gestionar riesgos materiales de ciberamenazas, y roles de administración y junta; y (2) divulgación en Form 8-K de incidentes materiales dentro de cuatro días hábiles tras determinar su materialidad.

Respecto a la fecha de vigencia, la regla final entró en vigor el 5 de septiembre de 2023, con fechas de cumplimiento escalonadas:

img

Tabla resumen de los requisitos SEC más recientes:

img

Equipos involucrados en divulgaciones de ciberseguridad

Varios equipos internos y externos desempeñan roles esenciales en evaluación, determinación y gestión de divulgaciones.

img

img

Conclusión

Los requisitos actualizados de la SEC subrayan el papel crítico de transparencia, responsabilidad y gobernanza. Al exigir divulgaciones oportunas y detalladas, la SEC informa mejor a inversionistas sobre prácticas y respuesta a incidentes. La ciberseguridad no es solo un asunto técnico, sino elemento clave de estrategia y gobierno corporativo.

El proceso estructurado —desde evaluación por el CISO hasta materialidad legal y validación de auditores externos— asegura que cada incidente se aborde con precisión y responsabilidad, reforzando la confianza del inversionista en un mundo cada vez más digital.