SEC e Cibersegurança: As Novas Obrigações de Divulgação que Transformaram o Papel do CISO
As regras da SEC sobre divulgação de incidentes cibernéticos, em vigor desde dezembro de 2023, exigem reporte de incidentes materiais em até quatro dias úteis via Formulário 8-K. Em maio de 2025, associações bancárias americanas peticionaram a SEC para revogar a regra. O resultado prático: o CISO passou a ser interlocutor direto do conselho e da área jurídica em decisões de materialidade.
Em 26 de julho de 2023, a SEC adotou regras finais sobre gestão de risco de cibersegurança, estratégia, governança e divulgação de incidentes por empresas públicas. As regras entraram em vigor para a maioria dos registrantes em meados de dezembro de 2023. O impacto no papel do CISO foi imediato e estrutural.
A obrigação central: qualquer incidente cibernético que a empresa determine ser material deve ser divulgado via Item 1.05 do Formulário 8-K, geralmente em quatro dias úteis após a determinação de materialidade. A divulgação deve descrever a natureza, o escopo e o timing do incidente, além de seu impacto real ou razoavelmente provável.
O Que Mudou na Prática
Antes das regras, um incidente de segurança era primariamente uma questão operacional e de TI. Após as regras, tornou-se simultaneamente uma questão jurídica, regulatória e de relações com investidores. O CISO, que historicamente reportava ao CIO ou ao COO, passou a ter interface direta com o Conselho de Administração, o CEO e o Conselho Jurídico a cada incidente relevante.
A pergunta que define o processo é: este incidente é material? Materialidade, no contexto da SEC, significa se o incidente poderia influenciar razoavelmente a decisão de um investidor de comprar ou vender ações. Essa é uma avaliação jurídica, não técnica. E ela precisa ser feita em horas, não dias.
A Divulgação Anual de Governança
Além do reporte de incidentes, as regras adicionaram o Item 106 à Regulamentação S-K, exigindo divulgação anual sobre: processos para avaliar, identificar e gerenciar riscos de cibersegurança; supervisão do Conselho sobre esses riscos; e expertise em cibersegurança entre membros do Conselho ou consultores utilizados.
Essa última exigência foi a que mais moveu os mercados de trabalho: em 2024 e 2025, houve aumento expressivo na contratação de diretores independentes com background em segurança para conselhos de empresas listadas.
A Resistência do Setor Financeiro
Em 22 de maio de 2025, um grupo de associações bancárias americanas, incluindo a American Bankers Association e o Bank Policy Institute, peticionou a SEC para revogar a regra de reporte de incidentes em quatro dias. O argumento central: divulgação pública rápida de incidentes em andamento pode beneficiar atacantes que ainda estão dentro dos sistemas da empresa, além de criar riscos de mercado desproporcionais antes que os fatos completos sejam conhecidos.
A SEC ainda não respondeu formalmente à petição. Para empresas listadas, a regra permanece em vigor enquanto o debate regulatório continua.
A Implicação para CISOs
O profissional que ocupa a posição de CISO em uma empresa listada em 2026 precisa de competências que incluem comunicação executiva, compreensão de materialidade jurídica e capacidade de traduzir eventos técnicos em linguagem de risco para o Conselho, não apenas habilidades técnicas de segurança. O mercado de executive search reporta demanda crescente por CISOs com experiência prévia em conformidade regulatória ou relações com investidores.