ניהול סיכוני סייבר וניהול סיכונים לנותני שירותים פיננסיים מוסדרים – הוראות חדשות
רשות שוק ההון, ביטוח וחיסכון פרסמה לאחרונה שני חוזרים חדשים בתחום ניהול הסיכונים המופנים לנותני שירותים פיננסים. החוזר הראשון מכוון לניהול סיכונים במובנו הרחב והשני חוזר ייעודי העוסק בניהול סיכוני סייבר.
שני החוזרים מופנים לשורה ארוכה של בעלי רישיון שירות פיננסים ובכלל זה:
- בעל רישיון למתן שירותי פיקדון ואשראי;
- בעל רישיון להפעלת מערכת לתיווך באשראי;
- בעל רישיון למתן שירות בנכס פיננסי אשר נותן שירות שבו נשמר ומנוהל נכס פיננסי בחשבון ייעודי המנוהל עבור לקוח מסוים, ואשר מאפשר העברת נכס פיננסי לחשבון אחר – ארנקים ושירותי תשלום;
- מי שמבקש לפעול כנותן שירות מידע פיננסי – במסגרת ההסדרים הייעודי שנקבעו לעניין זה;
- כל בעל רישיון למתן שירותים פיננסיים אשר שומר באופן מקוון הן את המידע על לקוחותיו וכן את הנכסים הפיננסיים של לקוחותיו; או הוא משמש מקור מידע או משתמש בנתוני אשראי כהגדרתם בחוק נתוני אשראי.
במסגרת חלופה זו, החוזרים מוחלים גם על נותני אשראי.
חוזר ניהול סיכונים אצל נותן שירותים פיננסים מוסדרים
בחוזר ניהול סיכונים מבקשת הרשות ליצור מסגרת לניהול סיכונים אצל נותני שירותים פיננסיים. הדבר נעשה מתוך הסתכלות על האחריות המוטלת על הגוף המוסדר, כמו גם על אפקט הדומינו שעשוי להיות לכשל בניהול סיכון אצל הגופים, לאור הקשרים והקישוריות בין הגופים.
חוזר זה נועד להיות חוזר מסגרת ולהוסיף על החוזרים הפרטניים הנוגעים לסיכוני איסור הלבנת הון וסיכוני סייבר.
עיקרו של החוזר הוא אימוץ הנורמות הבינלאומיות הוא ביצוע הליכים סדורים לזיהוי והערכת סיכונים ונקיטת אמצעים לניהולם בהתאם למאפייניהם ולאופים, היקפם מורכבותם ובהתאם למטרותיו העסקיות של נותן השירותים הפיננסים.
החוזר נותן לגופים פרק זמן של 18 חודשים להתארגנות, למעט מי שמבקש לספק שירות מידע פיננסי שנדרש לתחולה מיידית.
בפרק זמן זה, הגופים יידרשו לבחון את תחולת החוזר עליהם, למנות מנהל סיכונים שיהיה עצמאי בעבודתו, לבנות תוכנית לניהול סיכונים ולאשרה בדירקטוריון.
לצד החוזר הכללי של ניהול סיכונים, פורסם גם חוזר ממוקד בסיכוני סייבר.
חוזר ניהול סיכוני סייבר בנותני שירותים פיננסיים
מטרת החוזר לקבוע עקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים. על פי החוזר, הסיכון בסקטור זה גבוה במיוחד, בשל אופיו המחייב פעילות מקוונת והתקנה של ערוצי קשר מרובים בין נותני השירות לגופים אחרים במערכת הפיננסית הישראלית והבין לאומית. לאור נתונים אלה, הרשות מחייבת את הפועלים בסקטור זה לסטנדרטים גבוהים ומחמירים בכל הקשור באבטחת סייבר.
העקרונות שנקבעו בחוזר נועדו להבטיח קיום תקין של פעילות עסקית ושמירה על סודיות, שלמות וזמינות של מידע ושל מערכות המידע – הן של נותני השירות, הן של הלקוחות. הפעולות שעל נותני השירות לנקוט כוללות מניעת פריצה ודליפה של מידע, נטרול של אירועים, חקריה של אירועים לאחר מעשה והתמודדות אל מול איומי סייבר.
עוד קובע החוזר כי ניהול סיכוני הסייבר יתבצע באופן שוטף, מתעדכן ועל בסיס עקרונות ממשל תאגידי נאותים.
החוזר מחייב את החברות שסווגו במספר פעולות, בין היתר:
- קביעת מדיניות ניהול סיכוני סייבר;
- קביעת מדיניות דירקטוריון בהקשר זה;
- מינוי מנהל הגנת סייבר וקביעת תפקידיו;
- גיבוש תכנית עבודה;
- ניטור מוכנות לאירועי סייבר;
- יישום אמצעי הגנה במערכות מידע, ועוד.
לגופים הכפופים לחוזר ניתנה שנה להערכות , למעט בתחום שירות מידע פיננסי שם התחולה היא מיידית.
אנו ממליצים לכל בעל רישיון לבצע הערכה של תחולת הוראות החוזרים על פעילותו ומקום בו פעילותו מחייבת עמידה בחוזרים, להקדים ולהערך, שכן החוזרים קובעי סטנדרט גבוה לניהולי תאגידי ומטילים את האחריות על כתפי הדירקטוריון והמנכ"ל.
***
צוות מחלקת הרגולציה במשרד ברנע ג'פה לנדה עומד לרשותכם בכל שאלה בנושאי ניהול סיכוני סייבר וסוגיות קשורות נוספות.
***