מי אחראי לשמור על המידע של לקוחות הבנקים מפני התקפות סייבר כאשר הם מסתייעים במיקור חוץ? טיוטת חוזר של בנק ישראל קובעת כי הבנקים וחברות האשראי ידרשו לבצע פיקוח ובקרה על סיכוני הסייבר העולים מפעילות ספקיהם עבורם, ככל ולאלו יש נגיעה למידע הבנקאי.
על פי טיוטת ההנחיה, הבנקים וחברות האשראי יצטרכו, בין היתר, לקבוע עקרונות לאבטחת סייבר, להכין מיפוי של הספקים המהותיים, למנות נאמן אבטחת סייבר מטעם הספק, לבצע בדיקת מהימנות לעובדי הספק ולוודא כי הספקים עומדים בהנחיות שהוגדרו להם.
ההנחיה תחול רטרואקטיבית ביחס לכל ספק מהותי שעובד עם הבנקים או חברות האשראי, וכן על ספקי משנה שעובדים עם הספק.
בעבר נשמעו טענות מצד הבנקים כנגד כיוון זה של טיוטת ההנחיה. הטענה הינה כי טיוטה כזו, אם תתגבש לכדי הנחיה, כללית מידי, מחילה כללים לא ברורים ומטילה אחריות על הבנקים שלטענתם, המדינה צריכה לשאת. יש להניח שזה יהיה הכיוון, בהערות שיועברו לבנק ישראל בעקבות טיוטת ההנחיה.