TRIBUNA de Romualdo Trancho, diretor de Desenvolvimento de Negócio para Portugal da Allianz Global Investors (Allianz GI). Comentário patrocinado pela Allianz GI.
A Securities and Exchange Commission (SEC) dos EUA adotou recentemente uma regra que exige às empresas públicas a divulgação de incidentes importantes de cibersegurança e a gestão de riscos, estratégia e governança de cibersegurança. Esta norma, que entra em vigor a 10 de dezembro de 2023, pretende melhorar o fluxo de informações sobre riscos e incidentes de cibersegurança para os investidores e para o público dos EUA e terá implicações em termos de conformidade, regulamentação e reputação das empresas.
Os novos requisitos da SEC em matéria de divulgação de informações sobre incidentes cibernéticos vão acelerar ainda mais um ambiente já robusto em que se prevê que as despesas com a cibersegurança cresçam a uma taxa anual acima dos 14%. "Ao ajudar a garantir que as empresas divulgam informações materiais sobre a cibersegurança, as regras atuais vão beneficiar os investidores, as empresas e os mercados que os conectam", afirmou o presidente da entidade, Gary Gensler, aquando do anúncio da nova regra no passado mês de julho.
Para tirar partido dos benefícios triplos da nova regra, as empresas devem: (i) adotar uma abordagem mais proativa à gestão dos riscos de cibersegurança, desenvolvendo e implementando programas abrangentes concebidos para identificar, avaliar e mitigar os riscos cibernéticos; (ii) transmitir incidentes materiais de cibersegurança à SEC no prazo de quatro dias úteis após a sua deteção (atualmente, são necessários cinco dias ou menos para os atacantes exfiltrarem dados dos sistemas de uma empresa e cerca de seis para as empresas remediarem os ataques); ou (iv) revelar informações sobre a sua gestão de risco, estratégia e governação de cibersegurança nos relatórios financeiros 10-K apresentados à SEC anualmente.
Estas últimas informações vão ajudar os investidores a avaliar a postura de cibersegurança da empresa e a tomar decisões de investimento informadas. Vão, ainda, pôr em evidência as empresas que não adotaram medidas de cibersegurança suficientes, facilitando ainda mais a necessidade de um maior enfoque e despesa em segurança de perímetro, rede, endpoint, aplicações e dados.
Catalisador de crescimento para o mercado da cibersegurança
Segundo estimativas recentes, o mercado mundial de cibersegurança deverá quase triplicar em termos de valor, passando de 221 mil milhões de dólares em 2022 para os 657 mil milhões de dólares em 2030. A nova regra de cibersegurança da SEC está suscetível de acelerar ainda mais este crescimento, com alguns analistas de investimento a sugerirem que a exigência de divulgações mais rigorosas por parte das empresas públicas é uma das políticas mais importantes da história em matéria de cibersegurança, aumentando ainda mais a prioridade e a incidência orçamental na segurança.
O aumento dos custos de conformidade, maior escrutínio regulamentar, maior risco de danos reputacionais e o aumento do ativismo dos acionistas são algumas das implicações da nova regra de segurança cibernética da SEC, que vai ter um grande impacto nas empresas e no setor da cibersegurança.
A regra vai fazer com que as empresas adotem uma abordagem mais proativa na gestão de risco de segurança cibernética e divulguem incidentes materiais de segurança cibernética à SEC. Ao mesmo tempo, vai criar novas oportunidades para as empresas de cibersegurança e aumentar a sensibilização para a sua importância da cibersegurança.
