SEC propone reglas cibernéticas para fondos de inversión y asesores

Si bien la SEC ha incluido elementos de orientación cibernética en otras reglas, en particular, Cumplimiento e integridad de los sistemas de regulación y su Regla de banderas rojas contra el robo de identidad, conocida como Regulación S-ID, esta es la primera vez que detalla específicamente los preparativos de seguridad cibernética que espera de asesores y fondos.

«La mayoría de los asesores de inversiones confiables ya tienen algo establecido, es parte de su planificación de continuidad comercial y parte de su plan de gestión de crisis y desastres», dijo Ken Joseph, director gerente de cumplimiento de servicios financieros de la firma consultora Kroll Holdings Inc. y la práctica de la regulación.

El Sr. Joseph, quien trabajó como investigador de la SEC durante 21 años antes de unirse a Kroll, dijo que el cambio real en el enfoque del regulador es el requisito de que los asesores informen los incidentes cibernéticos importantes dentro de las 48 horas.

“Si la regla se adopta tal como está escrita, también tendrán que divulgar ese riesgo públicamente a los clientes reales y potenciales”, dijo. Las reglas propuestas establecen que los fondos deben divulgar cualquier «incidente significativo de seguridad cibernética» de los últimos dos años fiscales en folletos y presentaciones regulatorias.

La forma en que la SEC define «significativo» sigue siendo una pregunta clave, dijo Kelly Koscuiszka, socia del bufete de abogados de Nueva York Schulte Roth & Zabel LLP.

“Depende de cuál sea el desencadenante”, dijo.

En las reglas propuestas, la SEC describe un incidente significativo como aquel que impide que un asesor o fondo realice operaciones críticas, como el procesamiento de transacciones, y dice que la obligación de informar se activa después de que una empresa tiene una «base razonable» para concluir que un se está produciendo un evento cibernético. La SEC también clasifica las violaciones de datos como eventos significativos y solicita comentarios públicos sobre sus definiciones.

Las nuevas reglas asignan gran parte de la responsabilidad de los preparativos de seguridad cibernética, el mantenimiento de registros y la presentación de informes específicamente a los asesores, incluso si utilizan proveedores de tecnología subcontratados. Según la propuesta, los fondos deben garantizar que sus proveedores de tecnología externos cumplan con las nuevas reglas.

“En realidad, nos hace la vida un poco más fácil”, dijo George Ralph, director general global y director de riesgos de RFA Inc., que brinda servicios tecnológicos a compañías financieras. “Esto es lo que a menudo le decimos a la gente que debería estar haciendo, y ahora la SEC lo está diciendo”.

La propuesta es la última acción enfocada en ciberseguridad por parte de la agencia.

En septiembre, la SEC llegó a un acuerdo de $10 millones con la firma de análisis App Annie Inc. por cargos de fraude de valores, alegando que la compañía engañó a los desarrolladores de aplicaciones móviles sobre sus controles de privacidad. App Annie no admitió haber actuado mal como parte del trato. Sin embargo, la acción de la SEC sugirió que observaría más de cerca a los proveedores de datos de terceros en los que los inversores confían cada vez más para realizar transacciones.

En agosto, la SEC sancionó a tres firmas de inversión luego de que piratas informáticos ingresaran a cuentas de correo electrónico y obtuvieran acceso a datos personales.

Y el año pasado, la SEC inició una investigación sobre el incumplimiento de varias agencias federales y decenas de empresas estadounidenses a través de una actualización de software comprometida de SolarWinds. corporación

Los funcionarios estadounidenses solo se enteraron del incidente después de Mandiant. C ª.,

una firma de seguridad cibernética entonces conocida como FireEye Inc., informó que había sido pirateada.

En la investigación subsiguiente de la SEC, «Muchas de las preguntas se centraron en cómo se entera de los eventos cibernéticos como víctima y cómo se informan estas cosas», comentó la Sra. Koscuiszka.

El año pasado, la administración de Biden implementó los primeros requisitos de informe de incidentes cibernéticos de su tipo para los oleoductos, donde los operadores deben divulgar ciertos ataques dentro de las 12 horas, y los operadores ferroviarios, que tienen un plazo de 24 horas. Mientras tanto, agencias como la Comisión Federal de Comercio y la Comisión Federal de Comunicaciones se han movido para vigilar el uso de datos de las empresas al explorar nuevas regulaciones o hacer cumplir los estándares existentes de manera más agresiva.

A pesar de esos esfuerzos, los intentos de los legisladores de incluir mandatos de informes de piratería en el presupuesto de defensa de EE. UU. en diciembre fracasaron. Sin embargo, la semana pasada, los senadores Gary Peters (D., Mich.) y Rob Portman (R., Ohio) presentaron un nuevo paquete de leyes propuestas que incluyen mandatos de denuncia de infracciones.

El martes pasado, un grupo de senadores que incluía a Angus King (I., Maine), Mark Warner (D., Va.), Jack Reed (D., RI), Susan Collins (R., Maine), Kevin Cramer (R. , ND), Catherine Cortez Masto (D., Nev.) y Ron Wyden (D. Ore.) escribieron al presidente de la SEC, Gary Gensler, instando a la agencia a proponer normas para la notificación de infracciones en coordinación con el Director Nacional de Cibernética Chris Inglis. El Sr. Gensler ha declarado en varias ocasiones en los últimos meses que se avecinan nuevas reglas de seguridad cibernética.

“Los inversores merecen una comprensión clara de si las empresas y los administradores de inversiones están priorizando la ciberseguridad. También tienen derecho a una pronta notificación de incidentes graves de ciberseguridad”, escribieron los senadores.

—David Uberti contribuyó a este artículo

Escribir a James Rundle en james.rundle@wsj.com