La Securities and Exchange Commission (SEC) adoptó en julio de 2023 un conjunto de normas que obligan a las empresas públicas a revelar incidentes de ciberseguridad materiales, sus estrategias de gestión de riesgos climáticos y los mecanismos de supervisión que sus juntas directivas tienen sobre ambas variables. El paquete no es nuevo en su espíritu, pero sí en su profundidad: por primera vez, el regulador no solo pregunta qué ocurrió, sino cómo está organizado el directorio para evitar que ocurra.
Esto no es una actualización administrativa. Es un cambio en la gramática del gobierno corporativo.
De la divulgación voluntaria al registro obligatorio
Durante años, la divulgación de riesgos no financieros fue un ejercicio de relaciones públicas disfrazado de gobernanza. Las empresas publicaban sus políticas de ciberseguridad en reportes de sustentabilidad que nadie auditaba con rigor, y los directorios podían presumir de "supervisión estratégica" sin que existiera un mecanismo formal que lo verificara. La SEC ha cerrado esa brecha.
El nuevo marco regulatorio opera bajo una lógica que los abogados corporativos llaman disclose or explain: o divulgas la práctica, o explicas públicamente por qué no la tienes. Esta mecánica es más coercitiva de lo que parece. En teoría, cualquier empresa puede optar por la ruta de la explicación. En la práctica, hacerlo implica quedar expuesta al escrutinio de firmas asesoras de voto como ISS o Glass Lewis, que penalizan la ausencia de controles formales recomendando votar en contra de directores. El resultado es una presión de mercado que actúa como mandato implícito.
La norma de ciberseguridad —codificada en el Ítem 106 del Regulation S-K— exige que las compañías describan sus procesos para identificar y gestionar riesgos materiales, los efectos potenciales sobre el negocio y, de manera específica, el rol del directorio en la supervisión de amenazas cibernéticas. No basta con tener un comité de auditoría que revise incidentes a posteriori. El regulador quiere saber qué tan preparada está la junta para anticiparlos.
Paralelo a esto, las reglas de divulgación climática establecen un calendario escalonado: las empresas de mayor capitalización (Large Accelerated Filers) deben comenzar con divulgaciones de riesgo financiero en 2025 y con emisiones de gases de efecto invernadero en 2026. Las empresas medianas siguen en 2026 y 2028, respectivamente. Ese cronograma no es generoso: para muchas organizaciones, construir la infraestructura de datos necesaria para cumplir con esas exigencias toma entre 18 y 36 meses.
La presión recae directamente sobre la composición del directorio
Aquí está el punto que la mayoría de los análisis sobre este tema omite: las nuevas reglas no solo cambian lo que se reporta, sino quién debe estar sentado en la mesa para poder reportarlo con credibilidad.
Un directorio compuesto íntegramente por ejecutivos con perfiles financieros y operativos tradicionales no tiene la capacidad técnica para supervisar una estrategia de ciberseguridad con el nivel de granularidad que la SEC ahora exige. Lo mismo aplica para el riesgo climático: un director que no entiende la diferencia entre emisiones de alcance 1, 2 y 3 no puede certificar con solvencia que la empresa está gestionando adecuadamente su exposición regulatoria en ese frente.
Esto está generando una demanda acelerada de directores con perfiles técnicos especializados: exdirectores de seguridad informática (CISOs), expertos en infraestructura energética, ingenieros con experiencia en descarbonización industrial. El problema es que ese mercado de talento es estrecho y caro. Reclutar un director con credenciales reales en ciberseguridad o riesgo climático tiene un costo de oportunidad significativo, tanto en compensación como en el tiempo que toma integrarlo al funcionamiento del directorio.
Las empresas que intentan resolver esto con capacitaciones aceleradas para sus directores actuales están apostando a que el conocimiento superficial satisface el estándar regulatorio. Es una apuesta que probablemente no resista el primer incidente material bajo las nuevas reglas.
La reforma también presiona sobre la estructura de comités. Históricamente, el comité de auditoría absorbía casi todos los temas de riesgo. Hoy, muchas juntas están creando comités específicos de ciberseguridad y de sustentabilidad, lo que multiplica la carga sobre los directores independientes y eleva los costos de funcionamiento del directorio. Para una empresa con ingresos anuales por debajo de los 500 millones de dólares, ese costo estructural puede representar entre el 0.3% y el 0.8% de sus gastos generales y administrativos, según proyecciones del sector legal.
El costo de confundir cumplimiento con estrategia
El mayor riesgo operativo que veo en cómo las empresas están respondiendo a estas reglas es la confusión entre cumplir el formulario y gestionar el riesgo. Ambos objetivos no son lo mismo, y optimizar para uno puede deteriorar el otro.
Una empresa que construye su divulgación de ciberseguridad para satisfacer el Ítem 106 sin rediseñar sus procesos internos de gestión de incidentes ha creado un pasivo legal de primer orden: si ocurre una brecha, el regulador tendrá en sus manos un documento certificado donde la empresa afirmó tener controles robustos. El daño reputacional y legal de esa brecha se multiplica por la distancia entre lo que se declaró y lo que existía.
Lo mismo aplica al riesgo climático. La divulgación de emisiones sin un plan de gestión creíble detrás es, paradójicamente, más costosa que no divulgar nada, porque convierte un riesgo regulatorio en un riesgo de litigación. Los inversionistas institucionales con mandatos ESG ya están usando las divulgaciones climaticas para construir casos de negligencia fiduciaria contra directores que aprobaron estrategias inconsistentes con sus propias declaraciones públicas.
El presidente de la SEC, Gary Gensler, articuló el objetivo del regulador con precisión: que las divulgaciones sean "consistentes, comparables y útiles para la toma de decisiones". Ese lenguaje técnico tiene una implicación directa para los directorios: el estándar no es divulgar más, sino divulgar con precisión suficiente para que un inversionista externo pueda hacer una evaluación independiente del riesgo. Los boilerplate genéricos que caracterizan buena parte de las divulgaciones actuales no sobreviven ese estándar.
El directorio como activo estratégico, no como estructura de cumplimiento
Las empresas que están saliendo mejor posicionadas en este entorno son las que trataron las nuevas exigencias como una oportunidad para recalibrar la arquitectura de sus directorios, no las que contrataron a un bufete externo para redactar las divulgaciones mínimas requeridas.
Eso implica decisiones concretas: mapear las brechas de competencia técnica en la junta actual, diseñar un proceso de incorporación de directores con criterios actualizados, y construir un mecanismo de reporte interno que genere los datos que el directorio necesita para supervisar ciberseguridad y riesgo climático con frecuencia trimestral, no anual. El proceso de divulgación ante la SEC debería ser el último paso de ese sistema, no el primero.
Las compañías que inviertan en esa infraestructura de gobernanza antes de que los plazos de cumplimiento los obliguen tendrán una ventaja estructural: sus directorios estarán mejor equipados para detectar riesgos antes de que sean materiales, lo que reduce la probabilidad de incidentes y, con ello, los costos de litigación, respuesta y daño reputacional asociados. El marco regulatorio de la SEC, con todas sus fricciones de implementación, está acelerando una diferenciación entre empresas que gobiernan con datos y empresas que gobiernan con documentos.
