Los nuevos requisitos de divulgación de la Comisión de Bolsa y Valores (SEC) sobre cómo el público divulga incidentes importantes de ciberseguridad entrarán en vigor a finales de este mes, una vez concluido el período de comentarios.
Dada la manera transparente y oportuna en que a menudo se informan y manejan los exploits dentro del espacio criptográfico, los nuevos requisitos pueden ofrecer a las empresas públicas de criptografía en los EE. UU. la oportunidad de mostrar sus capacidades.
Erik Gerding, Director de la División de Finanzas Corporativas, hizo una declaración el 14 de diciembre sobre cómo se implementarán las nuevas reglas, y parece que sus implicaciones afectarán a las empresas de cifrado que cotizan en bolsa.
Nuevos requisitos de divulgación de ciberseguridad de la SEC.
Como afirmó Gerding,
“Estas reglas brindarán a los inversionistas información oportuna, consistente y comparable sobre un conjunto importante de riesgos que pueden causar pérdidas significativas a las empresas públicas y sus inversionistas”.
Después del período de comentarios, la SEC reconoció preocupaciones sobre el cumplimiento y los actores de amenazas, lo que llevó a modificaciones de la propuesta inicial. Gerding enfatizó la necesidad de los nuevos requisitos al señalar que aunque las divulgaciones de las empresas públicas ya han “mejorado desde que se emitió esa guía”, las prácticas de divulgación siguen siendo inconsistentes.
Las reglas finales tienen dos componentes. En primer lugar, las empresas deben divulgar los incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a la determinación de su materialidad. En segundo lugar, existe el requisito de divulgación anual de información sobre la gestión, la estrategia y la gobernanza de los riesgos de ciberseguridad.
Gerding explicó el fundamento del estándar de materialidad para las divulgaciones: “La materialidad es una piedra de toque de las leyes de valores. Conecta las divulgaciones con las necesidades de los inversores”. Aclaró que la SEC no prescribe defensas específicas de ciberseguridad, pero garantiza que los inversores reciban la información necesaria y coherente.
Las reglas de divulgación de ciberseguridad afectan a las criptomonedas.
Estos desarrollos tienen particular importancia para el sector criptográfico. El uso cada vez mayor de pagos digitales y el “crecimiento de las actividades económicas que dependen de sistemas electrónicos” exponen directamente a la industria de la criptografía a los riesgos de ciberseguridad a los que se hace referencia en las nuevas reglas. Como mencionó Gerding,
“La Comisión ha observado que los riesgos de ciberseguridad han aumentado junto con la proporción cada vez mayor de actividad económica que depende de los sistemas electrónicos, el crecimiento del trabajo remoto, la capacidad de los delincuentes para monetizar los incidentes de ciberseguridad, el uso de pagos digitales y la creciente dependencia sobre proveedores de servicios externos para servicios de tecnología de la información, incluida la tecnología de computación en la nube”.
Las reglas también tienen en cuenta el retraso en la presentación de informes sobre incidentes de seguridad cibernética que podrían representar un “riesgo sustancial para la seguridad nacional o la seguridad pública”.
Si bien no es una empresa que cotiza en bolsa, el reciente ataque a la biblioteca del Ledger Connect Kit muestra la capacidad de la industria para reconocer, adaptar y rectificar rápidamente los incidentes de seguridad. Desde la divulgación inicial hasta el parcheo de la biblioteca afectada, Ledger tardó menos de cuatro horas en abordar el incidente. La comunidad también jugó un papel vital al analizar el problema y ayudar a Ledger a solucionarlo. Sin embargo, según se informa, Ledger ha expresado su deseo de salir a bolsa en el pasado.
Además, Tether pudo congelar los activos en la billetera del explotador pocas horas después del ataque, haciendo que los fondos fueran inutilizables e intransferibles el mismo día.
En comparación con los incidentes tradicionales de Web2, una mayor atención a los procedimientos de ciberseguridad de una empresa puede mostrar una fortaleza de la industria de Web3 que los mercados convencionales no suelen comprender. Si las empresas públicas de criptografía pudieran continuar divulgando problemas de una manera tan eficiente y transparente, podrían establecer un nuevo estándar de seguridad en todo EE. UU.
Sin embargo, a medida que la industria de las criptomonedas integra tecnologías como la inteligencia artificial, estas nuevas reglas de la SEC pueden influir indirectamente en la forma en que las empresas públicas de criptomonedas abordan la ciberseguridad a través de otros ámbitos.
Implicaciones de las nuevas divulgaciones para las empresas públicas de criptomonedas.
Las empresas públicas de cifrado como Coinbase, Riot Blockchain y otras deberán cumplir con las nuevas reglas. Esto significa que deben revelar cualquier incidente de ciberseguridad dentro de los cuatro días hábiles posteriores a la determinación de su materialidad. Dado el mayor riesgo de amenazas cibernéticas en el sector de las criptomonedas, esto podría dar lugar a revelaciones públicas más frecuentes.
El requisito de que estas empresas informen sobre incidentes de ciberseguridad y sus estrategias para gestionar dichos riesgos podría reforzar o debilitar la confianza de los inversores. Por un lado, la divulgación transparente de medidas eficaces de ciberseguridad podría aumentar la confianza de los inversores. Por otro lado, la revelación de importantes incidentes de ciberseguridad podría provocar una pérdida de confianza de los inversores y afectar potencialmente a los precios de las acciones de las empresas.
Cumplir con las nuevas reglas de la SEC también puede aumentar los costos operativos y de cumplimiento para las empresas públicas de criptografía. Es posible que necesiten invertir en una infraestructura de ciberseguridad mejorada, contratar más personal de ciberseguridad y asignar recursos para el seguimiento y la notificación continuos de incidentes de ciberseguridad.
No divulgar adecuadamente los incidentes de ciberseguridad o no proporcionar suficiente información sobre las estrategias de gestión de riesgos también podría someter a estas empresas a un mayor escrutinio legal y regulatorio. Esto podría incluir investigaciones por parte de la SEC u otros organismos reguladores, lo que podría dar lugar a multas, sanciones u otras acciones regulatorias.
En última instancia, los comentarios de Gerding destacan cómo la Comisión pretende equilibrar la necesidad de divulgación y el riesgo de proporcionar a los actores de amenazas información potencialmente explotable.
La industria esperará que no se considere cada vez más que los requisitos adicionales exceden y sofocan la innovación dentro del espacio de los activos digitales. A medida que el sector criptográfico continúa intersecándose con los principales mercados financieros, las implicaciones de estos desarrollos pueden desempeñar un papel sustancial en cualquier decisión de salir a bolsa en los EE. UU.