הרשות לניירות ערך הטילה חובת גילוי על מתקופות סייבר

הרשות לניירות ערך מנסה לעשות סדר בעולם הסייבר ביחס לארגונים שבפיקוחה. בימים אלה בוחנת הרשות ערך את השפעת סיכוני הסייבר על תאגידים מדווחים. ביום 21.10.2018 אף פרסמה את עמדתה לגבי חובות הגילוי של תאגידים מדווחים בישראל בנושא תקיפת סייבר.

השימוש המודרני בשירותי האינטרנט ובמערכות מבוססות 'ענן' בפרט, מעלה באופן בולט, בעיקר לחברות בתחום המסחרי, את החשש לחשיפה מפני מתקפות סייבר שונות. מספר חברות כבר חוו אירועי סייבר, כדוגמת השבתת מערכות ואתרי אינטרנט של הארגון עקב דרישת כופר, חדירה ותקיפת מערכות מידע, לרבות גניבה של מידע עסקי ו/או אישי רגיש.

הגופים המופקדים על הפיקוח והחשיפה לאיומי סייבר כוללים את הרשות להגנת הפרטיות,  הרשות לניירות ערך, רשות שוק ההון והמפקח על הבנקים, כאשר הם מחייבים, בין היתר, דיווח על אירועי סייבר חמורים או מהותיים.

כך למשל הוטלה לאחרונה חובת דיווח חדשה לרשות להגנת הפרטיות מכוח תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017, ביחס לאירוע סייבר הנוגע למידע אישי. במקרה שכזה – המוגדר כ"אירוע אבטחה חמור" – חובת הדיווח לרשות היא בתוך 72 שעות. בנוסף, ככל ומדובר בתאגיד מדווח, חלה עליו גם חובת דיווח לציבור לפי דיני ניירות ערך. 

על פי העמדה שפורסמה, הרשות לניירות ערך מבחינה בין חובות הגילוי בדיווח מידי, גילוי בתשקיף (ובדו"ח התקופתי) וגילוי בדו"ח הדירקטוריון, כמפורט להלן:

  1. גילוי בדיווחים מידיים – בהתאם לתקנה 36 לתקנות הדוחות, תאגיד מדווח נדרש לדווח מידית על כל אירוע או עניין החורגים מעסקי התאגיד הרגילים, אשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד. בנוסף, הדיווח יכלול כל פרט חשוב להערכת השלכות האירוע על עסקי התאגיד, ובכלל זה תיאור האירוע, תיאור הנזק, הערכת הנזק ודיווחים משלימים על האירוע.
  2. גילוי בתשקיף ובדו"ח תקופתי – המתחלק לשניים: (א) גילוי מכוח תקנה 39 לתוספת הראשונה לתקנות ניירות ערך, המטילה חובות גילוי ביחס לגורמי הסיכון הכלליים של התאגיד ואף סיכוני סייבר. תאגיד, שבו קיים סיכון סייבר מהותי, נדרש לכלול דיווח על תיאור הסיכון, מדיניות הגנה, אופני הפיקוח, יישומה ובדיקת יעילותה. (ב) גילוי מכוח תקנה 36 לתוספת הראשונה לתקנות פרטי תשקיף, המטילה חובות גילוי במקרה של אירוע או עניין החורגים מעסקי התאגיד הרגילים. יש לכלול תיאור תמציתי של עיקרי האירוע, זהות או סוג התוקפים, נסיבות התקיפה, משך זמן התקיפה, הערכה האם התקיפה הסתיימה, היקף וסוג הנזק וכדומה.
  3. גילוי בדו"ח הדירקטוריון – בהתאם לתקנה 10 ולתקנה 6 לתוספת הראשונה לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש"ל–1970, ככל שהתאגיד סבור כי התקיימה תקיפת סייבר בעלת השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים, עליו לכלול במסגרת דו"ח הדירקטוריון את הסברי הדירקטוריון בעניין תוך התייחסות לשאלה כיצד השפיע האירוע על הדוחות הכספיים.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הרשות להגנת הפרטיות חושפת: ליקויים חמורים בקרב מגזר בתי החולים

הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים. בשנים האחרונות, חלה ...

אתגרי אבטחת מידע במעבר מאגרי מידע לענן: הרשות להגנת הפרטיות מנחה        

מעבר מאגרי המידע לענן. מסמך חדש שפרסמה לאחרונה (05.09.2024) הרשות להגנת הפרטיות סוקר את האתגרים המרכזיים בתהליך זה ומציע דרכים להתמודדות עימם. בעידן הדיגיטלי המתפתח, ...

הפרטיות בחרום. הרשות מתווה דרכי פעולה

על מה יש להקפיד בשעת חרום בתחום הפרטיות?  הרשות להגנת הפרטיות מפרסמת מדריך, במסגרתו מוצעים כללים מרכזיים להגנה על פרטיות בעת חירום באופן המבקש ליצור ...

אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע ...
דילוג לתוכן