חדשות ופרסומים

בעקבות ביקורת רוחב מטעם הרשות לני"ע בנושא סיכוני סייבר בתאגיד מדווח

ביום 25.1.2023 עודכנה עמדת סגל של הרשות לניירות ערך (עמדה משפטית מספר 105-33: גילוי בנושא סייבר, להלן: "עמדת סגל הרשות לני"ע אודות גילוי בנושא סייבר" או "עמדת הסגל המעודכנת"), והוטמעו בה בין היתר, ממצאי ביקורת רוחב שקיימה הרשות לניירות ערך בנושא סיכוני סייבר בתאגיד מדווח (להלן: "ביקורת הרשות לניירות ערך"). להלן יובאו הרקע לעדכון עמדת סגל הרשות לני"ע אודות גילוי בנושא סייבר ועיקרי העדכונים שבוצעו בה.
הרקע  – ביקורת הרשות לני"ע

במהלך שנת 2022 ביצעה הרשות לניירות ערך ביקורת רוחב במטרה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בקשר לסיכוני סייבר ולתקיפות סייבר. בהתאם למבוא לעמדת הסגל המעודכנת, כיוון שאיומי סייבר הפכו לסיכון משמעותי ומוגבר עבור חברות במגוון ענפי משק ומעגל התאגידים שחוו תקיפת סייבר הולך ומתרחב, הרי שתהליך הערכת סיכוני סייבר וגילוי בנוגע לאירועי סייבר, כמו גם הטיפול בהם, הופכים להיות משמעותיים יותר, לצורך הערכת כדאיות ההשקעה בניירות הערך של התאגידים המדווחים.
לפי עמדת הסגל המעודכנת, מביקורת הרשות לניירות ערך, עולות התובנות הבאות:

1. חשיבות מעורבות הדירקטוריון בפיקוח על ניהול סיכוני סייבר, בדגש על קבלת עדכונים שוטפים מבעלי התפקידים הרלוונטיים בתאגיד, בין היתר על מנת לסייע לתיאום היעדים העסקיים והמערך הטכנולוגי.

2. הערך הרב באימוץ כלים שיטתיים להערכת סיכוני סייבר וניהולם, ובהם: הסתייעות במתודולוגיות, קביעת תוכנית עבודה וביצוע בקרות על מימושה, וכן הפעלה אפקטיבית של מערך אבטחת מידע תוך הסתייעות במומחים ככל שנדרש, וקיום ביקורת פנים לפי הצורך.

3. גילוי נאות בנוגע לסיכוני סייבר ומתקפות סייבר, על בסיס יישום תהליך הערכת סיכונים ומתודולוגיה מקובלת שייאפשרו גם בסיס לדיון בדירקטוריון בנוגע לגורמי הסיכון של התאגיד, דירוגם וגילויים בדוחות התקופתיים. כן הודגש, כי יש להתייחס לדירוג הסיכון השיורי לו חשוף התאגיד בפועל (דהיינו, בהתחשב בבקרות הקיימות להפחתת הסיכון ובמאפייניו הייחודיים של התאגיד).

4. החשיבות בהיערכות מוקדמת להתמודדות עם תקיפות סייבר, ולגילוי נאות לציבור המשקיעים על מתקפות סייבר בעת התרחשותן – היערכות מוקדמת של התאגיד כוללת בין היתר, הסדרה מראש של נהלים ותהליכי עבודה לתגובה ביחס לאירועי סייבר, וכן הסדרת הליכים הנדרשים לצורך גילוי ודיווח כנדרש לפי דיני ניירות ערך.

עדכונים מרכזיים בעמדת הסגל של הרשות לני"ע
1. גילוי בתשקיף ובדוח התקופתי

(א) גילוי על מדיניות ניהול סיכוני סייבר ואבטחת מידע – ככל שקיים סיכון סייבר מהותי הרלוונטי לפעילותו של תאגיד, על התאגיד לפרט בין היתר, את אסטרטגיית ניהול הסיכונים בנושא ואת הערכתו לעניין אפקטיביות מדיניות ניהול הסיכונים להתמודדות ולהפחתת סיכון הסייבר; וכן לציין אילו משאבים מוקצים לניהול סיכוני סייבר, ומיהם בעלי התפקידים האמונים על אישור מדיניות ניהול סיכון הסייבר ועל יישומה.

(ב) גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר –  לפי עמדת הסגל המעודכנת, במסגרת מתן מידע על השכלתם ועיסוקם של הדירקטורים ונושאי המשרה בחמש השנים האחרונות, על התאגיד לפרט אם לנושא משרה ישנם ניסיון, מומחיות או מיומנות בנושא אבטחת מידע או סייבר.
בהקשר זה צוין בעמדת הסגל, כי בפני התאגיד פתוחות אפשרויות נוספות לקבלת סיוע מקצועי בתחום, לרבות הסתייעות במיקור חוץ ובמומחים חיצוניים, ואם התאגיד בחר בכך, עליו לפרט הסתייעות כאמור כחלק ממדיניות ניהול הסיכון.

(ג) גילוי על אירועים החורגים מעסקי התאגידים הרגילים – בעמדת הסגל המעודכנת הוסף דגש, לפיו אם פורסם דוח מיידי על אירוע סייבר, על התאגיד לבחון האם התגלה מידע מהותי נוסף ביחס לאירוע, ולפרטו במסגרת הדוח התקופתי.

2. גילוי בדיווחים מיידיים

בעמדת הסגל המעודכנת נאמר בהקשר זה, כי בהתרחש תקיפת סייבר, מהותיות האירוע והשאלה האם מחייב פרסום דוח מיידי, ייבחנו על ידי התאגיד בין היתר, בראי מכלול הנזק ופוטנציאל הנזק כתוצאה מהתקיפה, הן במישרין והן בעקיפין. עוד נאמר, כי מהותיות אירוע צריכה להיבחן הן בהתאם לפרמטרים כמותיים והן בהתאם לפרמטרים איכותיים (בעמדת הסגל המעודכנת  צויין, כי גם בהיעדר נזק כספי ממשי, עשויה להיות לאירוע סייבר השפעה מהותית על התאגיד ברמה האיכותית, והוא עשוי להיחשב כמהותי וכמחייב דיווח).
עוד צוין בעמדת הסגל המעודכנת, כי גם כאשר קמה חובת דיווח מיידי מכוח דיני ניירות ערך, הרי  שבנסיבות מסוימות, עשויה לקום גם הזכות לעיכוב דיווח לפי הדין (כן מוזכר, כי לפי הוראות הדין,  זכות זו פוקעת אם המידע אודות האירוע פורסם ברבים).

לסיכום

נראה כי העדכון לעמדת סגל הרשות לניירות ערך אודות גילוי בנושא סייבר מהווה נדבך נוסף, בחידוד הנדרש מהנהלות ומדירקטוריונים לעניין מימשל תאגידי ראוי בניהול סיכוני סייבר וקביעת מנגנונים מתאימים לצורכי פיקוח ובקרה, וכן לעניין דרישות הדיווח והגילוי הנאות מתאגידים מדווחים לעניין סיכוני סייבר ותקיפות סייבר (יש לציין, כי התפתחות זו מתרחשת במקביל למגמה דומה בנושא של הרגולטור בתחום בארה"ב).

הן בביקורת הרשות לניירות ערך והן בעמדת הסגל מטעם הרשות, מובלטת בין היתר, חשיבותה של היערכות מקדימה לאירועי סייבר, ונאמר כי רצוי לקבוע נהלים ותהליכים סדורים מבעוד מועד לעניין חובות הדיווח של החברה. כן יצוין, כי לצד עמדת הסגל המעודכנת, בדוח ביקורת הרשות לניירות ערך נאמר, כי על התאגידים המדווחים לשקול לפי הצורך, לעדכן אף את הפרקטיקות המפורטות בדוח הביקורת, כחלק מתהליכי העבודה אצלם.

לעמדת הסגל המעודכנת:

https://www.isa.gov.il/%D7%92%D7%95%D7%A4%D7%99%D7%9D%20%D7%9E%D7%A4%D7%95%D7%A7%D7%97%D7%99%D7%9D/Corporations/Staf_Positions/SLB_Decision/Reports/Documents/SLB_105-33_cyber.pdf

לדוח ביקורת הרוחב של הרשות לניירות ערך:

https://www.new.isa.gov.il/images/Fittings/isa/asset_library_pic/al_lobby/al_lobby-6280ee7d64354/review24123.pdf

לפרסום באתר הרשות לניירות ערך:

https://www.new.isa.gov.il/nav-index/supervised-publications/News250123

הכותבת הינה ורד זליכה, שותפה וראשת תחום סייבר ואינטיליגנציה מלאכותית (AI)

*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.