הרשות לניירות ערך: גילוי בנושא סייבר
הקשר בין תקנות הגנת הפרטיות לרשות לניירות ערך:
בחודש מאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.
מטרת תקנות הגנת הפרטיות להגן על האזרחים שהמידע האישי אודותיהם (מידע בר זיהוי) מאוחסן/מעובד במאגרי המידע.
לצורך מטרה זו, מחלקת האכיפה של הרשות להגנת הפרטיות דואגת להסדיר ולאכוף את הוראות החוק, את התקנות וההוראות העוסקות בהגנת המידע האישי של האזרחים בכדי להחזיר את השליטה ואפשרות הבחירה בכל הנוגע למידע האישי החשוף ברשת הדיגיטלית.
בנוסף למחלקת האכיפה מצטרפים מפקחים נוספים בתחום הפיננסי: הרשות לניירות ערך, רשות שוק ההון והמפקח על הבנקים.
המפקחים מחייבים את הארגונים לדווח על אירועי סייבר חמורים או מהותיים.
במידה ומדובר בתאגיד, חלה חובת דיווח לציבור עפ"י דיני ניירות ערך.
למאמר מקיף אודות מחלקת האכיפה
לכל המאמרים על תקנות הגנת הפרטיות
לקריאה אודות תקן ISO 27032 לאבטחת סייבר בארגון
דרישות לסיכוני סייבר על פי הרשות לניירות ערך:
קיימות בדין דרישות גילוי שונות באשר לגורמי סיכון או להתממשותם. להלן העיקריות שבהן:
גילוי בתשקיף ובדו"ח תקופתי:
- כתיבת סיכום של כלל האיומים, החולשות וגורמי הסיכון החלים על התאגיד.
- הצגת פילוח גורמי הסיכון, דירוג על פי חומרת הסיכון (השפעה גדולה, בינונית וקטנה).
- בעת בחינת גורמי הסיכון, על התאגיד להתייחס לחומרת ותדירות הסיכון.
- במידה וישנו סיכון מהותי בעל השפעה גדולה, על התאגיד לציין מדיניות טיפול והגנה בסיכון הסייבר, הטמעה וביצוע בדיקת אפקטיביות.
גילוי על אירועים החורגים מעסקי התאגידים הרגילים:
- בהתרחשות תקיפת סייבר בעלת השפעה גדולה, על התאגיד לתאר את עיקרי האירועים שהתרחשו, תוך ציון פרטים, כגון: זהות/סוג התוקפים, כמות ומשך זמן התקיפה, היקף וסוג הנזק (השלכות עקיפות וישירות) ועוד.
גילוי בדו"ח הדירקטוריון:
- במידה והתאגיד סבור כי סיכון הסייבר אשר נחשף אליו הינו בעל השפעה גדולה, או במידה ואירועי התקיפה השפיעו על הדוחות הכספיים, על התאגיד להסביר כיצד סיכונים אלו השפיעו על הדוחות הכספיים. כגון: אובדן הכנסות, עלויות בעקבות היערכות מתקיפות סייבר, פגיעה במוניטין ועוד.
גילוי בדיווחים מיידיים:
- כל אירוע אשר בעל השפעה מהותית על התאגיד וכל אירוע היכול להשפיע על מחיר ניירות הערך של התאגיד יעודכן בדו"ח. על התאגיד לבחון את מהותיות האירוע, לשקלל את הנזק והפוטנציאל שלו הן בעקיפין והן במישרין. לדוגמא: הפסקת פעילות עסקית, פריצת מאגרי מידע, תשלום כופר ועוד.