בימים האחרונים פרסמה רשות שוק ההון, ביטוח וחיסכון (להלן – רשות שוק ההון) שני חוזרים חדשים בתחום הגנת הסייבר, האחד מיועד לגופים מוסדיים, והשני לנותני שירותים פיננסיים.
נבקש לעדכן בקצרה אודות החוזרים החדשים מטעם רשות שוק ההון:
א. חוזר דיווח על אירועי סייבר וכשל טכנולוגי
ביום 23.5.22 פרסמה רשות שוק ההון חוזר גופים מוסדיים (15 – 9 – 2022) בנושא דיווח על אירועי סייבר וכשל טכנולוגי. רשות שוק ההון מדגישה, כי על רקע הנזקים הכלכליים והעסקיים הפוטנציאליים עקב תקיפת סייבר בגופים המוסדיים, היא רואה חשיבות רבה בקבלת עדכון מיידי ומפורט ככל הניתן במקרה של אירוע סייבר או אירוע טכנולוגי אחר, אשר יש לו השפעה על התנהלותו של הגוף המוסדי.
ייעודו של החוזר לקבוע את סוגי המקרים בהם נדרש גוף מוסדי לדווח על אירועי סייבר וכשל טכנולוגי ולקבוע הוראות נוספות ביחס לדיווחים כאמור, כדי להבטיח כי הגוף נוקט את הצעדים הדרושים לצמצום הנזק הנובע מאירועים כאמור, לוודא ביצוע תהליכי התאוששות, ולאפשר לרשות שוק ההון לנקוט פעולות משלימות בהתקיים חשש לאירוע בעל השפעה רחבה.
בהתאם, חוזר זה מפרט סוגי אירועי סייבר וכשל טכנולוגי, לגביהם קיימת חובת דיווח, תוך הרחבה משמעותית ביחס לסוגי אירועי הסייבר המופיעים בחוזר ניהול סיכוני סייבר לגופים מוסדיים משנת 2016 (14 – 9 – 2016), וכן תוך פירוט פרוצדורת הדיווח הנדרשת (מועדי הדיווח, אופן הדיווח ותוכנו, ובנוסף דרישת דיווחים עוקבים לאורך כל האירוע עד לסיומו).
בהתאם לחוזר, תחולתו על כלל הגופים המוסדיים, ומועד תחילתו ביום פרסומו.
ב. חוזר ניהול סיכוני סייבר בנותני שירותים פיננסיים
ביום 29.5.22 פרסמה רשות שוק ההון חוזר חדש, אשר מטרתו לקבוע עקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים (9 – 10 – 2022). בהתאם לחוזר זה, פעילות מקוונת חושפת את נותני השירותים הפיננסיים לאיומי סייבר שעלולים לשבש את פעילותם התקינה, ולגרום בין היתר לדליפת מידע ולשיבושו, ואף לפגיעה בנכסי הלקוחות. בנוסף, קיומם של ערוצי קשר המאפשרים העברת מידע בין גופים שונים במערכת הפיננסית מגביר בין היתר, את הסיכונים המערכתיים לכלל השוק. לאור הסיכון הגבוה בתחום הגנת הסייבר הכרוך בפעילותם, ולאור קשרי הגומלין בין גופים שונים במערכת הפיננסית, נותני שירותים פיננסיים נדרשים לאמץ סטנדרטים גבוהים בתחום זה.
בהתאם לחוזר, על מנת לתת מענה הולם, מותאם ומדורג לניהול הסיכון בהתאם לפעילות העסקית של בעל הרישיון, בשלב זה הוחלט להחיל הוראות בעניין ניהול סיכוני סייבר על בעלי רישיון שרמת החשיפה של פעילותם לסיכוני סייבר היא הגבוהה והמשמעותית ביותר.
העקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים, שנקבעו בחוזר זה, נועדו להבטיח את קיום התהליכים העסקיים והפעילות התקינה של נותן השירותים הפיננסיים וכן להבטיח שמירה על סודיות, שלמות וזמינות של מערכות המידע ונכסי המידע של נותן השירותים הפיננסיים ושל לקוחותיו. בהתאם לחוזר זה, מסגרת ניהול סיכוני סייבר בנותן שירותים פיננסיים תכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, במטרה לצמצם את השפעתם ואת הנזק הנגרם מהם ללקוחות ולמערכת הפיננסית, בטרם התרחשותם, במהלכם ולאחריהם.
החוזר קובע עקרונות המחייבים כי ניהול סיכוני סייבר יתבצע באופן אפקטיבי, עדכני ושוטף, על בסיס עקרונות ממשל תאגידי נאותים. בין היתר מפורטים בחוזר זה נושאים כגון: קביעת מדיניות ניהול סיכוני סייבר, תפקידי הדירקטוריון, תפקידי המנכ"ל, מינוי ועדת היגוי לניהול סיכוני סייבר ותפקידיה, מינוי מנהל הגנת סייבר ותפקידיו, דיווחים ודוחות, גיבוש תוכניות עבודה, אופן ניהול סיכוני סייבר והפחתתם, איסוף מודיעין, ניטור ומוכנות לאירוע, ביצוע סקרי סיכונים, ויישום אמצעי הגנה במערכות מידע.
הוראותיו של החוזר מגדירות את נותני השירותים הפיננסיים עליהן יחולו הוראותיו, וכן נקבעו הוראות לעניין מועד התחילה של החוזר.
החוזרים המלאים נמצאים באתר רשות ההון, ביטוח וחיסכון.
הכותבת הינה ורד זליכה, שותפה וראשת תחום סייבר ואינטיליגנציה מלאכותית (AI)
*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.