SEC y Ciberseguridad: Las Nuevas Obligaciones de Divulgación que Transformaron el Papel del CISO
Las reglas de la SEC sobre divulgación de incidentes cibernéticos, en vigor desde diciembre de 2023, exigen reporte de incidentes materiales en un plazo de cuatro días hábiles a través del Formulario 8-K. En mayo de 2025, asociaciones bancarias estadounidenses solicitaron a la SEC la derogación de la regla. El resultado práctico: el CISO pasó a ser interlocutor directo del consejo y del área legal en decisiones de materialidad.
El 26 de julio de 2023, la SEC adoptó reglas finales sobre gestión de riesgo de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por empresas públicas. Las reglas entraron en vigor para la mayoría de los registrantes a mediados de diciembre de 2023. El impacto en el papel del CISO fue inmediato y estructural.
La obligación central: cualquier incidente cibernético que la empresa determine como material debe ser divulgado a través del Ítem 1.05 del Formulario 8-K, generalmente en un plazo de cuatro días hábiles después de la determinación de materialidad. La divulgación debe describir la naturaleza, el alcance y el momento del incidente, además de su impacto real o razonablemente probable.
Lo Que Cambió en la Práctica
Antes de las reglas, un incidente de seguridad era principalmente una cuestión operacional y de TI. Después de las reglas, se convirtió simultáneamente en una cuestión jurídica, regulatoria y de relaciones con inversionistas. El CISO, que históricamente reportaba al CIO o al COO, pasó a tener una interfaz directa con el Consejo de Administración, el CEO y el Consejo Legal ante cada incidente relevante.
La pregunta que define el proceso es: ¿es este incidente material? La materialidad, en el contexto de la SEC, significa si el incidente podría influir razonablemente en la decisión de un inversionista de comprar o vender acciones. Esta es una evaluación jurídica, no técnica. Y debe realizarse en horas, no en días.
La Divulgación Anual de Gobernanza
Además del reporte de incidentes, las reglas añadieron el Ítem 106 a la Regulación S-K, exigiendo divulgación anual sobre: procesos para evaluar, identificar y gestionar riesgos de ciberseguridad; supervisión del Consejo sobre estos riesgos; y expertise en ciberseguridad entre los miembros del Consejo o consultores utilizados.
Este último requisito fue el que más movió los mercados laborales: en 2024 y 2025, hubo un aumento significativo en la contratación de directores independientes con experiencia en seguridad para consejos de empresas cotizadas.
La Resistencia del Sector Financiero
El 22 de mayo de 2025, un grupo de asociaciones bancarias estadounidenses, incluyendo la American Bankers Association y el Bank Policy Institute, solicitó a la SEC la derogación de la regla de reporte de incidentes en cuatro días. El argumento central: la divulgación pública rápida de incidentes en curso puede beneficiar a los atacantes que aún están dentro de los sistemas de la empresa, además de crear riesgos de mercado desproporcionados antes de que los hechos completos sean conocidos.
La SEC aún no ha respondido formalmente a la petición. Para las empresas cotizadas, la regla sigue en vigor mientras el debate regulatorio continúa.
La Implicación para CISOs
El profesional que ocupa la posición de CISO en una empresa cotizada en 2026 necesita competencias que incluyen comunicación ejecutiva, comprensión de materialidad jurídica y capacidad para traducir eventos técnicos en lenguaje de riesgo para el Consejo, no solo habilidades técnicas de seguridad. El mercado de executive search informa de una creciente demanda de CISOs con experiencia previa en cumplimiento regulatorio o relaciones con inversionistas.