Beancount.io LogoBeancount.io

Divulgação de Incidentes de Cibersegurança da SEC: Cumprindo o Prazo de Quatro Dias Úteis do Item 1.05 em 2026

19 min para lerMike ThriftMike Thrift
Divulgação de Incidentes de Cibersegurança da SEC: Cumprindo o Prazo de Quatro Dias Úteis do Item 1.05 em 2026

A chamada sobre a violação ocorre às 23:47 de um domingo. O CISO está na linha com o chefe de resposta a incidentes, seu consultor jurídico externo está discando, e alguém na sala de guerra já está fazendo a pergunta que definirá as próximas noventa e seis horas: Isso é material?

Para empresas de capital aberto nos Estados Unidos, essa questão não é mais uma conversa tranquila entre o consultor jurídico e o comitê de auditoria. Desde dezembro de 2023, a Securities and Exchange Commission (SEC) exige que os registrantes arquivem um Formulário 8-K do Item 1.05 em até quatro dias úteis após determinarem que um incidente de cibersegurança é material. Perca o prazo, caracterize incorretamente o incidente ou divulgue excessivamente sob o item errado, e você poderá receber uma carta de comentários, uma notificação Wells ou uma ação coletiva de valores mobiliários que durará mais que a própria violação.

Este guia percorre como a regra realmente funciona em 2026 — o que aciona o cronômetro de quatro dias úteis, como tomar a decisão de materialidade sem atrasos injustificados, quando o Procurador-Geral dos Estados Unidos pode lhe dar tempo, o que o Item 106 da Regulação S-K exige em seu 10-K anual e os erros dispendiosos que os dois primeiros anos de fiscalização da SEC tornaram dolorosamente claros.

O Que a Regra Realmente Exige

A regra final da SEC, adotada em julho de 2023, possui duas partes principais. A primeira é o relatório de incidentes no Formulário 8-K. A segunda é a divulgação anual da gestão de riscos, estratégia e governança de cibersegurança no Formulário 10-K (ou Formulário 20-F para emissores privados estrangeiros).

O Item 1.05 do Formulário 8-K exige que um registrante divulgue qualquer incidente de cibersegurança que tenha determinado ser material. A divulgação deve descrever os aspectos materiais da natureza, escopo e tempo do incidente, bem como o impacto material ou o impacto material razoavelmente provável no registrante — inclusive na condição financeira e nos resultados das operações do registrante. O 8-K geralmente deve ser entregue em até quatro dias úteis após a determinação da materialidade.

O Item 106 da Regulação S-K exige que os registrantes descrevam em seu relatório anual:

  • Seus processos para avaliar, identificar e gerenciar riscos materiais decorrentes de ameaças de cibersegurança
  • Se quaisquer riscos decorrentes de ameaças de cibersegurança, inclusive de incidentes anteriores, afetaram materialmente ou têm probabilidade razoável de afetá-los materialmente
  • A supervisão do conselho de administração sobre os riscos de cibersegurança (incluindo qualquer comitê do conselho responsável)
  • O papel da administração na avaliação e gestão de riscos materiais de cibersegurança, incluindo a experiência relevante do pessoal responsável

Todos os registrantes — incluindo empresas de relatórios menores — devem marcar suas divulgações de cibersegurança em Inline XBRL para anos fiscais que terminam em ou após 15 de dezembro de 2024.

Essas duas peças funcionam juntas. O 10-K descreve o programa; o 8-K relata os eventos que o programa não conseguiu evitar.

O Cronômetro de Quatro Dias Úteis Não Começa Quando Você Descobre o Incidente

Este é o aspecto mais mal compreendido da regra. O cronômetro não começa quando seu SOC alerta sobre atividade suspeita, quando você encontra o malware, quando o invasor exfiltra dados ou mesmo quando você chama sua empresa de perícia forense. O cronômetro começa quando a empresa determina que o incidente é material.

Essa determinação deve ser feita "sem atraso injustificado" após a descoberta. A SEC rejeitou explicitamente um prazo fixo para a determinação da materialidade, reconhecendo que o escopo e o impacto do incidente frequentemente levam dias ou semanas para serem esclarecidos. Mas "sem atraso injustificado" também não é uma licença para pausar indefinidamente enquanto o consultor jurídico negocia.

Seguem-se três implicações práticas:

  1. Você deve ter um processo documentado para triagem de incidentes e escalonamento para uma determinação de materialidade. Se a SEC perguntar como você chegou à determinação, você deve ser capaz de apontar para um guia escrito de resposta a incidentes (playbook), um comitê definido que toma a decisão e um registro de quando ele se reuniu.
  2. Contratar perícia forense, ligar para o FBI ou pagar um resgate não pausa o cronômetro de determinação. A cessação ou aparente cessação do incidente — inclusive como resultado de um pagamento de ransomware — não isenta o registrante da exigência de fazer uma determinação de materialidade.
  3. Você pode falar com as autoridades antes de decidir. Uma empresa de capital aberto pode alertar agentes governamentais em qualquer ponto da resposta ao incidente, inclusive antes de determinar a materialidade, desde que isso não atrase injustificadamente seus processos internos para determinar a materialidade.

O Que "Material" Significa para um Incidente Cibernético

A materialidade sob as leis federais de valores mobiliários é o mesmo padrão que a Suprema Corte articulou décadas atrás em TSC Industries e Basic v. Levinson: a informação é material se houver uma probabilidade substancial de que um investidor razoável a considere importante ao tomar uma decisão de investimento, ou se ela tivesse alterado significativamente o conjunto total de informações disponíveis.

A SEC recusou-se a redigir um teste de materialidade específico para o setor cibernético. Em vez disso, os registrantes devem aplicar a mesma estrutura que já aplicam aos riscos operacionais, financeiros e jurídicos. Os fatores que tendem a empurrar um incidente cibernético para a materialidade incluem:

  • Impacto financeiro quantitativo: perda de receita projetada, custos de remediação, pagamentos de resgate, multas regulatórias, reembolsos a clientes, recuperações de seguros líquidas de retenção de auto-seguro e baixas de ativos deteriorados
  • Impacto qualitativo: danos à reputação, perda de confiança do cliente, dano a uma linha de negócio, roubo de segredos comerciais, exposição de informações pessoais regulamentadas, interrupção de uma operação crítica, exposição a quebra de contrato e risco de litígio
  • Escopo: número de clientes, funcionários ou contas afetadas; as geografias e regimes regulatórios implicados; a duração da interrupção
  • Sensibilidade dos dados: dados de cartões de pagamento, informações de saúde protegidas, código-fonte, caixas de entrada de equipes de fusões e aquisições
  • Interrupção operacional: tempo de inatividade da fábrica, interrupção do ERP, interrupção da cadeia de suprimentos, falha no ponto de venda de varejo, atraso no processamento de sinistros

Crucialmente, a regra exige a avaliação tanto do impacto real quanto do impacto "razoavelmente provável". Uma violação onde o dano financeiro imediato parece modesto, mas a exposição regulatória ou de litígio é severa, ainda pode ser material. Por outro lado, uma intrusão barulhenta que não resultou em exfiltração nem impacto operacional pode não ser — mesmo que resulte em um relatório interno de incidente assustador.

A Divisão de Finanças Corporativas enfatizou publicamente um ponto: não agrupe incidentes de cibersegurança não relacionados em uma única avaliação de materialidade para manipular o limite. Mas você deve agregar incidentes relacionados — por exemplo, intrusões repetidas pelo mesmo autor de ameaça ou uma série de eventos relacionados que juntos produzem um impacto material.

O que entra no 8-K — e o que fica de fora

O Item 1.05 exige que os registrantes descrevam:

  • Os aspectos materiais da natureza, escopo e cronograma do incidente
  • O impacto material ou o impacto material razoavelmente provável no registrante, incluindo na condição financeira e nos resultados das operações

Duas disposições adicionais são importantes. Primeiro, os registrantes não são obrigados a divulgar informações específicas ou técnicas sobre a resposta planejada da empresa, sistemas de segurança cibernética, redes e dispositivos relacionados ou vulnerabilidades potenciais do sistema — qualquer coisa que impeça a resposta ou a remediação do incidente. Segundo, os registrantes devem alterar o 8-K original (usando o Item 1.05 novamente) quando informações materiais não estiverem disponíveis no momento do protocolo inicial e se tornarem disponíveis posteriormente. Aproximadamente um terço das empresas que protocolaram divulgações sob o Item 1.05 até agora deram seguimento com pelo menos uma alteração.

A arte está em equilibrar a transparência com a segurança operacional e a exposição a litígios. Melhores práticas em 2026:

  • Declare o que se sabe e o que está sendo investigado. Evite especulações, mas não subestime o impacto para fazer a divulgação parecer menor do que realmente é.
  • Descreva o impacto operacional de forma concreta. "Tirou certos sistemas do ar" é mais útil do que "respondeu prontamente". "Interrompeu o processamento de pedidos por aproximadamente cinco dias úteis" é mais útil do que "teve um impacto temporário".
  • Quantifique o impacto financeiro quando puder. Mesmo intervalos e estimativas de "razoavelmente provável de ser material" são melhores do que o silêncio. A varredura da SEC em meados de 2024 emitiu cartas de comentários pedindo especificamente que as empresas expandissem a divulgação de potenciais impactos materiais além da condição financeira e dos resultados das operações.
  • Evite detalhes técnicos que não influenciem a materialidade. Os investidores não precisam saber o número CVE ou o produto específico de detecção de endpoint que não detectou o malware.
  • Não declare que nenhum impacto material foi identificado se você ainda não concluiu essa avaliação. Essa linguagem pode se tornar sua própria alegação de fraude de valores mobiliários.

A armadilha do Item 1.05 vs. Item 8.01

O erro mais comum — e mais evitável — nos primeiros dezoito meses da regra foi protocolar sob o Item 1.05 de forma reflexiva para cada incidente de segurança cibernética, incluindo aqueles que a empresa não havia determinado como materiais ou havia determinado afirmativamente que não eram materiais.

Em maio de 2024, o Diretor da Divisão de Finanças Corporativas emitiu uma declaração pública esclarecendo que o Item 1.05 se destina a incidentes materiais. Se uma empresa optar por divulgar voluntariamente — por exemplo, porque o incidente está na imprensa, os clientes estão perguntando ou a empresa deseja controlar a narrativa — e a determinação de materialidade ainda não foi feita ou resultou em negativa, a divulgação deve ser feita sob um item diferente do Formulário 8-K, normalmente o Item 8.01 (Outros Eventos).

O raciocínio é simples: se cada incidente for registrado sob o Item 1.05, os investidores perdem a capacidade de distinguir violações materiais de violações rotineiras. O rótulo fica diluído e as divulgações materiais perdem seu sinal.

Seguem três regras práticas:

  1. Use o Item 8.01 para divulgação voluntária de incidentes que ainda não foram determinados como materiais.
  2. Migre para o Item 1.05 dentro de quatro dias úteis após qualquer determinação de materialidade subsequente. O novo 8-K sob o Item 1.05 pode fazer referência cruzada ao protocolo anterior sob o Item 8.01.
  3. Documente a determinação de materialidade de forma contemporânea. Memorandos internos, atas de comitês e registros de data e hora estabelecem que você tomou a decisão deliberadamente, não por padrão.

Uma estatística que captura a mudança: no ano seguinte à declaração de maio de 2024, a parcela de 8-Ks relacionados à segurança cibernética protocolados sob o Item 8.01 em vez do Item 1.05 cresceu acentuadamente. As empresas que anteriormente usavam o Item 1.05 para tudo aprenderam que a SEC estava prestando atenção na escolha do item, não apenas no conteúdo da divulgação.

Quando o Procurador-Geral pode interromper o prazo

A regra contém uma exceção estreita de atraso por segurança nacional e segurança pública. Se o Procurador-Geral dos Estados Unidos determinar que a divulgação imediata representaria um risco substancial à segurança nacional ou à segurança pública e notificar a SEC por escrito, o registrante poderá atrasar o protocolo do 8-K do Item 1.05:

  • Por um período inicial de até 30 dias, mais
  • Um período estendido de até 30 dias adicionais se o Procurador-Geral reafirmar a determinação, mais
  • Em circunstâncias extraordinárias ligadas exclusivamente à segurança nacional, um período final de até 60 dias adicionais

O Departamento de Justiça e o FBI publicaram procedimentos para solicitar esses atrasos. Algumas realidades a internalizar antes de confiar nesta exceção:

  • O DOJ sinalizou que os atrasos serão concedidos raramente. A expectativa padrão é que você protocolize dentro de quatro dias úteis após a materialidade.
  • O teste relevante é se a divulgação pública do incidente ameaçaria a segurança pública ou a segurança nacional — não se o incidente em si é perigoso.
  • As solicitações devem ser enviadas ao FBI o mais rápido possível após uma determinação de materialidade, não no final da janela de quatro dias úteis. Há um tempo de espera real necessário para que o DOJ avalie uma solicitação.
  • A coordenação com o FBI durante a resposta ao incidente é incentivada, independentemente de você solicitar ou não um atraso — mas isso não justifica, por si só, pausar a determinação de materialidade.

Para a maioria das empresas, a premissa operacional correta é que nenhum atraso será concedido. A exceção existe para casos genuínos de segurança nacional, não como uma ferramenta de gestão de litígios.

O Regulamento FD Coexiste com o Item 1.05

Um ponto sutil, mas consequente: um arquivamento de formulário 8-K é uma divulgação pública e simultânea que satisfaz o Regulamento FD (Fair Disclosure). No entanto, muitas das conversas que ocorrem durante a resposta a incidentes — com clientes, fornecedores, reguladores, autoridades policiais, seguradoras, equipes de contas de grandes empresas e até funcionários — não o fazem.

Se uma empresa informar a um grande cliente que a violação afetou seus dados, e essa informação for material e ainda não for pública, essa divulgação pode violar o Regulamento FD, mesmo que a violação em si ainda não tenha sido anunciada publicamente. Uma vez feita a determinação de materialidade, a premissa operacional segura é que você tem horas, não dias, para alinhar as comunicações internas com o 8-K planejado.

A assessoria jurídica e a área de RI (Relações com Investidores) devem preparar:

  • Declarações de posicionamento (holding statements) para as chamadas de imprensa que começarão assim que a violação se tornar visível
  • Comunicações com clientes que estejam alinhadas com a linguagem do 8-K planejado
  • Comunicações para funcionários que não vazem informações materiais antes do arquivamento público
  • Coordenação com seguradoras e resseguradoras, que frequentemente tomam conhecimento cedo, mas não devem receber informações privilegiadas sobre dados materiais não públicos

Item 106: A Divulgação Anual Que Prepara o Terreno

Uma divulgação limpa do Item 1.05 começa com um programa crível do Item 106. A divulgação anual fornece aos investidores — e aos advogados dos autores em potenciais litígios — uma base de comparação para medir sua resposta ao incidente.

Uma divulgação defensável do Item 106 normalmente descreve:

  • Um framework formal de gestão de riscos de cibersegurança (frequentemente ancorado no NIST CSF 2.0, ISO 27001 ou padrão semelhante)
  • Um processo definido para identificar ameaças, incluindo riscos de terceiros e da cadeia de suprimentos
  • Integração com o programa mais amplo de gestão de riscos corporativos — não uma função de TI isolada
  • Envolvimento de terceiros qualificados (avaliadores, testadores de invasão, provedores de detecção e resposta gerenciada, auditoria interna)
  • Supervisão ao nível do conselho por um comitê nomeado (geralmente o comitê de auditoria, o comitê de riscos ou, em alguns casos, o conselho pleno), com cadência documentada
  • Responsabilidade da gestão vinculada a um cargo específico (frequentemente o CISO), com experiência relevante divulgada (anos de experiência, certificações, cargos anteriores)
  • Uma descrição honesta de quaisquer incidentes passados que tenham afetado materialmente ou que tenham probabilidade razoável de afetar materialmente a empresa

Algumas sutilezas:

  1. A divulgação deve ser honesta. Linguagem aspiracional sobre um "programa de cibersegurança de classe mundial" que não corresponda às práticas reais da empresa é exatamente o tipo de declaração que os advogados dos autores examinarão após uma violação.
  2. A biografia do CISO importa. Frases vagas sobre "vasta experiência" são mais fracas do que credenciais concretas, cargos anteriores de CISO e certificações de segurança.
  3. A supervisão do conselho deve ser específica. "O conselho supervisiona a cibersegurança" é muito vago. Identifique o comitê, descreva sua cadência de reuniões e indique o tipo de material que ele revisa.
  4. Incidentes passados que não eram materiais na época podem ter se agregado em algo que agora é. Não omita o histórico relevante.

O Que os Primeiros Dois Anos Nos Ensinaram

Ao longo dos primeiros dezoito meses de relatórios obrigatórios, a Divisão de Finanças Corporativas da SEC realizou o que observadores chamaram de "varredura" (sweep) — emitindo cartas de comentários focadas em duas questões específicas:

  1. A escolha de divulgar sob o Item 1.05 quando o incidente não havia sido determinado como material ou havia sido determinado como não material
  2. A necessidade de expandir a discussão sobre o impacto material potencial além da condição financeira e dos resultados das operações para incluir dimensões reputacionais, operacionais, de clientes, regulatórias e de litígio

O segundo ponto merece ênfase. Muitos 8-Ks iniciais tinham uma leitura restrita: "não se espera que o incidente tenha um impacto material em nossos resultados financeiros". Essa linguagem pode ser tecnicamente verdadeira e substancialmente enganosa se a empresa estiver enfrentando escrutínio regulatório, perda de clientes (attrition) e ações coletivas. Os investidores se preocupam com o quadro mais amplo; os comentários da SEC deixam claro que a divulgação também deve se preocupar.

Um segundo padrão: emendas. Aproximadamente uma em cada três empresas que arquivaram um formulário 8-K sob o Item 1.05 arquivou pelo menos uma emenda, e uma parcela significativa arquivou duas ou mais. Isso é normal e esperado. A investigação produz novos fatos; novos fatos produzem divulgações atualizadas. O que não é aceitável é uma promessa de "atualizaremos se for material" que nunca recebe um acompanhamento.

Construindo o Playbook Operacional

Se sua empresa está preparando — ou atualizando — sua prontidão para o Item 1.05, o playbook deve cobrir:

Fluxo de trabalho da detecção à determinação. Defina o caminho de escalonamento do SOC, a etapa de triagem jurídica, a composição do comitê de materialidade e a cadência em que o comitê se reúne durante um incidente ativo. A maioria das empresas estabelece uma reunião diária ou duas vezes ao dia, desde a detecção do incidente até a resolução.

Estatuto do comitê de materialidade. Um grupo pequeno e nomeado — geralmente o CFO, o Diretor Jurídico (General Counsel), o CISO, o chefe de relações com investidores e um líder de negócios sênior — com poderes para tomar a determinação. O estatuto deve especificar o quórum, autoridade de decisão, padrões de documentação e escalonamento para o comitê de auditoria.

Modelos de divulgação. Estruturas pré-redigidas de 8-K para o Item 1.05 e Item 8.01, além de linguagem para notificação de clientes, declarações de posicionamento e documentos de perguntas frequentes (FAQ). Redigir do zero sob pressão de tempo produz divulgações piores.

Exercícios de simulação (tabletop) multifuncionais. Exercícios anuais ou semestrais que guiam todos os stakeholders por uma violação hipotética: jurídico, segurança, RI, finanças, comunicações, liderança de unidades de negócios e o comitê do conselho. Os exercícios devem cobrir explicitamente o prazo de quatro dias úteis.

Dependências de fornecedores e contratos. Assessoria jurídica externa, perícia forense, negociação de ransomware e firmas de consultoria em RI devem estar sob contrato (retainer) com acordos mestres de prestação de serviços (MSAs) assinados antecipadamente. Negociar esses contratos durante um incidente ativo consome dias que você não tem.

Coordenação de seguro cibernético. Muitas apólices exigem notificação dentro de prazos curtos. Coordine a notificação com o fluxo de trabalho de determinação de materialidade para que a divulgação de valores mobiliários e o aviso ao seguro não colidam.

O Custo de Fazer Certo — e Errado

O custo de contabilidade e conformidade deste regime é real. Uma empresa de capital aberto de médio porte em 2026 deve esperar:

  • $50.000 a $200.000 na estruturação inicial do programa e no trabalho de consultoria jurídica externa
  • $50.000 a $150.000 por ano em ferramentas de GRC contínuas, avaliações de terceiros e facilitação de exercícios de simulação (tabletop)
  • $150.000 a $500.000 em custos específicos de incidentes para qualquer evento reportável (perícia forense, consultoria jurídica, comunicações)
  • Potencialmente sete dígitos em multas regulatórias e exposição a ações coletivas por uma divulgação malfeita

Esses custos estão distribuídos por várias contas do livro razão — serviços profissionais, seguros, assinaturas de software, salários internos — e frequentemente são codificados de forma inconsistente, o que torna a comparação anual e os relatórios do comitê de auditoria mais difíceis do que deveriam ser. Construir um plano de contas claro que segrega os gastos com gestão de riscos cibernéticos de outros custos de TI e jurídicos fornece ao comitê de auditoria os dados necessários para supervisionar o programa. Também produz números mais limpos para a próxima rodada de due diligence de investidores e para o próximo ciclo de renovação da sua apólice de seguro cibernético.

Mantenha Seus Registros de Divulgação Tão Auditáveis Quanto Seus Controles de Segurança

A resposta a um incidente de segurança cibernética abrange suas funções de segurança, jurídica, comunicações, finanças e contabilidade — e o registro de divulgação que você constrói durante esses quatro dias úteis será examinado pela SEC, seu comitê de auditoria, seus seguradores e, possivelmente, advogados da parte contrária. O mesmo padrão que se aplica aos seus controles de segurança aplica-se aos seus registros financeiros: eles devem ser transparentes, com registro de data e hora, controlados por versão e reproduzíveis. O Beancount.io oferece às equipes financeiras uma plataforma de contabilidade em texto simples que é totalmente auditável, controlada por versão no Git e pronta para a revisão assistida por IA que os seus futuros comitês de auditoria esperarão. Comece gratuitamente e veja por que os profissionais de finanças estão mudando para a contabilidade em texto simples para obter o tipo de trilha de auditoria que a conformidade moderna exige.