הרשות לניירות ערך: גילוי בנושא סייבר

דרישות לסיכוני סייבר על פי הרשות לניירות ערך:

קיימות בדין דרישות גילוי שונות באשר לגורמי סיכון או להתממשותם. להלן העיקריות שבהן:

גילוי בתשקיף ובדו"ח תקופתי:

• כתיבת סיכום של כלל האיומים, החולשות וגורמי הסיכון החלים על התאגיד.
• הצגת פילוח גורמי הסיכון, דירוג על פי חומרת הסיכון (השפעה גדולה, בינונית וקטנה).
  • בעת בחינת גורמי הסיכון, על התאגיד להתייחס לחומרת ותדירות הסיכון.
  • במידה וישנו סיכון מהותי בעל השפעה גדולה, על התאגיד לציין מדיניות טיפול והגנה בסיכון הסייבר, הטמעה וביצוע בדיקת אפקטיביות.

גילוי על אירועים החורגים מעסקי התאגידים הרגילים:

• בהתרחשות תקיפת סייבר בעלת השפעה גדולה, על התאגיד לתאר את עיקרי האירועים שהתרחשו, תוך ציון פרטים, כגון: זהות/סוג התוקפים, כמות ומשך זמן התקיפה, היקף וסוג הנזק (השלכות עקיפות וישירות) ועוד.

גילוי בדו"ח הדירקטוריון:

• במידה והתאגיד סבור כי סיכון הסייבר אשר נחשף אליו הינו בעל השפעה גדולה, או במידה ואירועי התקיפה השפיעו על הדוחות הכספיים, על התאגיד להסביר כיצד סיכונים אלו השפיעו על הדוחות הכספיים. כגון: אובדן הכנסות, עלויות בעקבות היערכות מתקיפות סייבר, פגיעה במוניטין ועוד.

גילוי בדיווחים מיידיים:

• כל אירוע אשר בעל השפעה מהותית על התאגיד וכל אירוע היכול להשפיע על מחיר ניירות הערך של התאגיד יעודכן בדו"ח. על התאגיד לבחון את מהותיות האירוע, לשקלל את הנזק והפוטנציאל שלו הן בעקיפין והן במישרין. לדוגמא: הפסקת פעילות עסקית, פריצת מאגרי מידע, תשלום כופר ועוד.

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.