הרשות לניירות ערך מנסה לעשות סדר בעולם הסייבר ביחס לארגונים שבפיקוחה. בימים אלה בוחנת הרשות ערך את השפעת סיכוני הסייבר על תאגידים מדווחים. ביום 21.10.2018 אף פרסמה את עמדתה לגבי חובות הגילוי של תאגידים מדווחים בישראל בנושא תקיפת סייבר.
השימוש המודרני בשירותי האינטרנט ובמערכות מבוססות 'ענן' בפרט, מעלה באופן בולט, בעיקר לחברות בתחום המסחרי, את החשש לחשיפה מפני מתקפות סייבר שונות. מספר חברות כבר חוו אירועי סייבר, כדוגמת השבתת מערכות ואתרי אינטרנט של הארגון עקב דרישת כופר, חדירה ותקיפת מערכות מידע, לרבות גניבה של מידע עסקי ו/או אישי רגיש.
הגופים המופקדים על הפיקוח והחשיפה לאיומי סייבר כוללים את הרשות להגנת הפרטיות, הרשות לניירות ערך, רשות שוק ההון והמפקח על הבנקים, כאשר הם מחייבים, בין היתר, דיווח על אירועי סייבר חמורים או מהותיים.
כך למשל הוטלה לאחרונה חובת דיווח חדשה לרשות להגנת הפרטיות מכוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017, ביחס לאירוע סייבר הנוגע למידע אישי. במקרה שכזה – המוגדר כ"אירוע אבטחה חמור" – חובת הדיווח לרשות היא בתוך 72 שעות. בנוסף, ככל ומדובר בתאגיד מדווח, חלה עליו גם חובת דיווח לציבור לפי דיני ניירות ערך.
על פי העמדה שפורסמה, הרשות לניירות ערך מבחינה בין חובות הגילוי בדיווח מידי, גילוי בתשקיף (ובדו"ח התקופתי) וגילוי בדו"ח הדירקטוריון, כמפורט להלן:
- גילוי בדיווחים מידיים – בהתאם לתקנה 36 לתקנות הדוחות, תאגיד מדווח נדרש לדווח מידית על כל אירוע או עניין החורגים מעסקי התאגיד הרגילים, אשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד. בנוסף, הדיווח יכלול כל פרט חשוב להערכת השלכות האירוע על עסקי התאגיד, ובכלל זה תיאור האירוע, תיאור הנזק, הערכת הנזק ודיווחים משלימים על האירוע.
- גילוי בתשקיף ובדו"ח תקופתי – המתחלק לשניים: (א) גילוי מכוח תקנה 39 לתוספת הראשונה לתקנות ניירות ערך, המטילה חובות גילוי ביחס לגורמי הסיכון הכלליים של התאגיד ואף סיכוני סייבר. תאגיד, שבו קיים סיכון סייבר מהותי, נדרש לכלול דיווח על תיאור הסיכון, מדיניות הגנה, אופני הפיקוח, יישומה ובדיקת יעילותה. (ב) גילוי מכוח תקנה 36 לתוספת הראשונה לתקנות פרטי תשקיף, המטילה חובות גילוי במקרה של אירוע או עניין החורגים מעסקי התאגיד הרגילים. יש לכלול תיאור תמציתי של עיקרי האירוע, זהות או סוג התוקפים, נסיבות התקיפה, משך זמן התקיפה, הערכה האם התקיפה הסתיימה, היקף וסוג הנזק וכדומה.
- גילוי בדו"ח הדירקטוריון – בהתאם לתקנה 10 ולתקנה 6 לתוספת הראשונה לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש"ל–1970, ככל שהתאגיד סבור כי התקיימה תקיפת סייבר בעלת השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים, עליו לכלול במסגרת דו"ח הדירקטוריון את הסברי הדירקטוריון בעניין תוך התייחסות לשאלה כיצד השפיע האירוע על הדוחות הכספיים.