A nova divulgação da Securities and Exchange Commission (SEC) requisitos sobre como o público divulga que incidentes materiais de segurança cibernética entrarão em vigor no final deste mês, após a conclusão do período de comentários.
Dada a maneira transparente e oportuna com que as explorações são frequentemente relatadas e tratadas no espaço criptográfico, os novos requisitos podem oferecer às empresas públicas de criptografia nos EUA uma oportunidade de mostrar as suas capacidades.
Erik Gerding, Diretor da Divisão de Finanças Corporativas, fez uma declaração em 14 de dezembro sobre como as novas regras serão implementadas, e parece que suas implicações afetarão as empresas de criptografia listadas publicamente.
Novos requisitos de divulgação de segurança cibernética da SEC.
Como afirmou Gerding,
“Essas regras fornecerão aos investidores informações oportunas, consistentes e comparáveis sobre um importante conjunto de riscos que podem causar perdas significativas às empresas públicas e aos seus investidores.”
Após o período de comentários, a SEC reconheceu preocupações sobre conformidade e atores de ameaças, levando a modificações na proposta inicial. Gerding enfatizou a necessidade dos novos requisitos, observando que embora as divulgações das empresas públicas já tenham “melhorado desde que a orientação foi emitida”, as práticas de divulgação permaneceram inconsistentes.
As regras finais têm dois componentes. Em primeiro lugar, as empresas devem divulgar incidentes materiais de cibersegurança no prazo de quatro dias úteis após determinar a sua materialidade. Em segundo lugar, existe um requisito de divulgação anual de informações relativas à gestão, estratégia e governação dos riscos de segurança cibernética.
Gerding explicou a lógica por trás do padrão de materialidade para divulgações: “A materialidade é uma pedra de toque das leis de valores mobiliários. Ele conecta as divulgações às necessidades dos investidores.” Ele esclareceu que a SEC não prescreve defesas específicas de segurança cibernética, mas garante que os investidores recebam as informações necessárias e consistentes.
As regras de divulgação de segurança cibernética afetam a criptografia.
Estes desenvolvimentos têm um significado particular para o setor criptográfico. A crescente utilização de pagamentos digitais e o “crescimento das atividades económicas dependentes de sistemas eletrónicos” expõem diretamente a indústria criptográfica aos riscos de cibersegurança referenciados nas novas regras. Como Gerding mencionou,
“A Comissão observou que os riscos de cibersegurança aumentaram juntamente com a parcela cada vez maior da atividade económica que depende de sistemas eletrónicos, o crescimento do trabalho remoto, a capacidade dos criminosos de monetizarem incidentes de cibersegurança, a utilização de pagamentos digitais e a crescente dependência em prestadores de serviços terceirizados para serviços de tecnologia da informação, incluindo tecnologia de computação em nuvem.”
As regras também contabilizam atrasos na comunicação de divulgações de incidentes de segurança cibernética que podem representar um “risco substancial para a segurança nacional ou pública”.
Embora não seja uma empresa de capital aberto, o recente ataque na biblioteca do Ledger Connect Kit mostra a capacidade do setor de reconhecer, adaptar e corrigir prontamente incidentes de segurança. Desde a divulgação inicial até a correção da biblioteca afetada, Ledger levou menos de quatro horas para resolver o incidente. A comunidade também desempenhou um papel vital na análise do problema e ajudando Ledger a resolvê-lo. Ledger supostamente expresso um desejo de abrir o capital no passado, no entanto.
Além disso, Tether foi capaz de congelar os ativos na carteira do explorador poucas horas após o ataque, tornando os fundos inutilizáveis e intransferíveis no mesmo dia.
Em comparação com os incidentes web2 tradicionais, um foco mais forte nos procedimentos de segurança cibernética de uma empresa pode mostrar uma força da indústria web3 que muitas vezes não é compreendida pelos mercados convencionais. Se as empresas públicas de criptografia conseguirem continuar a divulgar questões de maneira tão eficiente e transparente, elas poderão estabelecer um novo padrão de segurança em todos os EUA.
No entanto, à medida que a indústria criptográfica integra tecnologias como inteligência artificialessas novas regras da SEC podem influenciar indiretamente a forma como as empresas públicas de criptografia abordam a segurança cibernética em outras áreas.
Implicações de novas divulgações para empresas públicas de criptografia.
Empresas públicas de criptografia como Coinbase, Riot Blockchain e outras precisarão aderir às novas regras. Isto significa que devem divulgar quaisquer incidentes de segurança cibernética no prazo de quatro dias úteis após determinarem a sua materialidade. Dado o maior risco de ameaças cibernéticas no setor das criptomoedas, isto poderá levar a divulgações públicas mais frequentes.
A exigência de que estas empresas comuniquem incidentes de cibersegurança e as suas estratégias para gerir esses riscos poderá reforçar ou enfraquecer a confiança dos investidores. Por um lado, a divulgação transparente de medidas eficazes de cibersegurança poderia aumentar a confiança dos investidores. Por outro lado, a revelação de incidentes significativos de cibersegurança poderá levar a uma perda de confiança dos investidores e afetar potencialmente os preços das ações das empresas.
O cumprimento das novas regras da SEC também pode aumentar os custos operacionais e de conformidade para empresas públicas de criptografia. Talvez precisem de investir em infraestruturas de cibersegurança melhoradas, contratar mais pessoal de cibersegurança e alocar recursos para monitorização e comunicação contínuas de incidentes de cibersegurança.
A falta de divulgação adequada de incidentes de cibersegurança ou de fornecimento de informações suficientes sobre estratégias de gestão de risco também poderá sujeitar estas empresas a um maior escrutínio jurídico e regulamentar. Isto pode incluir investigações da SEC ou de outros órgãos reguladores, potencialmente levando a multas, sanções ou outras ações regulatórias.
Em última análise, os comentários de Gerding destacam a forma como a Comissão pretende equilibrar a necessidade de divulgação e o risco de fornecer aos agentes da ameaça informações potencialmente exploráveis.
A indústria espera que outras exigências não sejam cada vez mais vistas como exageradas e sufocantes da inovação no espaço dos ativos digitais. À medida que o setor criptográfico continua a cruzar-se com os principais mercados financeiros, as implicações destes desenvolvimentos podem desempenhar um papel substantivo em qualquer decisão de abertura de capital nos EUA.
