A Instrução CVM nº 612, de 21 de agosto de 2019, altera, acrescenta e revoga dispositivos da Instrução CVM nº 505/2011 e revoga a Instrução CVM nº 380/2002. As principais mudanças incluem:
Definição de termos como "ordem", "oferta", "sistema de conta-corrente", "entidade autorreguladora", "diretor responsável pelo cumprimento das normas", "diretor de controles internos", "planos de continuidade de negócios", "processos críticos de negócio", "sistemas críticos", "incidente relevante de segurança cibernética", "serviços relevantes" e "dado ou informação sensível".
Obrigatoriedade de os intermediários manterem sistemas de gravação de ordens transmitidas por telefone ou outros sistemas de voz.
Requisitos para ordens transmitidas por sistemas eletrônicos de negociação de acesso direto ao mercado (DMA), incluindo identificação da origem das ordens e controle de gerenciamento de riscos pré-operacionais.
Implementação de planos de continuidade de negócios e políticas de segurança da informação, abrangendo segurança cibernética e tratamento de dados sensíveis.
Relatórios anuais detalhados sobre controles internos, testes de eficiência e eficácia, e avaliação de riscos, incluindo segurança cibernética.
Comunicação tempestiva à CVM e aos órgãos de administração sobre incidentes relevantes de segurança cibernética e acionamento de planos de continuidade de negócios.
Regras específicas para a contratação de serviços relevantes prestados por terceiros, garantindo a confidencialidade, integridade e disponibilidade dos dados processados ou armazenados.
A Instrução entra em vigor em 1º de setembro de 2020, com exceções para alguns dispositivos que passam a valer a partir de 2 de março de 2020 e 4 de maio de 2020.
