Preocupaciones sobre plazos y requisitos de divulgación

Esta noticia ha sido publicada previamente por Radical Compliance.

Una coalición de asociaciones bancarias estadounidenses ha solicitado formalmente a la Comisión de Bolsa y Valores (SEC) que reduzca el alcance de su nueva norma sobre divulgación de incidentes de ciberseguridad. Argumentan que la exigencia de reportar incidentes significativos en un plazo de cuatro días podría exponer a las entidades a riesgos adicionales y complicar la gestión de crisis. Los bancos sostienen que la norma actual impone una carga desproporcionada, especialmente cuando aún no se ha evaluado completamente el alcance de los ataques.

El grupo también expresó preocupación por el requisito de informar eventos que, aunque potencialmente relevantes, aún no han causado impactos materiales confirmados. Proponen en cambio que la SEC permita a las entidades usar su propio juicio razonable para determinar si un incidente requiere divulgación inmediata. La carta enviada enfatiza que los requisitos actuales podrían disuadir la cooperación con agencias de seguridad y obstaculizar investigaciones en curso.

Riesgos regulatorios y operativos

Los bancos advierten que una divulgación prematura podría revelar detalles sensibles a actores maliciosos, afectando la respuesta a incidentes y elevando el riesgo sistémico. También consideran que la norma podría tener efectos contraproducentes sobre la transparencia, al incentivar la minimización o el ocultamiento de incidentes para evitar incumplimientos regulatorios. La SEC aún no ha respondido oficialmente a la solicitud, pero el tema promete generar debate en los próximos meses.

Consulta la noticia original si desea conocer más.