רשות ניירות ערך: אירוע סייבר מחייב דיווח
לאור הגידול בהיקפי איומי סייבר והחשש מפגיעה בפעילותן של חברות ציבוריות, פרסמה רשות ניירות ערך נייר עמדה המתייחס לאופן הגילוי שנדרש מחברות ציבוריות לגבי אופן התנהלות בעת אירוע סייבר.
העמדה החדשה לא יצרה חובות גילוי חדשות, אלא נועדה להבהיר את חובות הגילוי הקיימות החלות על חברות ציבוריות ותאגידים מדווחים. כל גילוי בהתאם לעמדה זו כפוף למבחני המהותיות הרלוונטיים.
גילוי בתשקיף ובדוח תקופתי
א. סעיף ה"דיון בגורמי סיכון" – סיכוני סייבר הנם גורם סיכון ככל סיכון אחר. אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילותו, על סעיף ה"דיון בגורמי סיכון" לכלול גילוי בדבר סיכון זה, לרבות תיאור בעניינו, התייחסות לקיומה של מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה.
כאשר התאגיד בוחן את מהותיות סיכוני הסייבר, רצוי לשקול, בין היתר, את הגורמים הבאים:
- התרחשות תקיפות סייבר קודמות, לרבות חומרתן ותדירותן;
- ההסתברות להתרחשות תקיפות סייבר;
- אפקטיביות יכולות התאגיד למנוע או להקטין את החשיפה לסיכוני הסייבר;
- היבטים עסקיים של התאגיד ופעילותו, היוצרים סיכונים מהותיים בתחום הסייבר, והעלויות וההשלכות הפוטנציאליות של סיכונים אלה, לרבות סיכונים ספציפיים לתחום פעילותו וסיכונים של ספקי שירות וצדדים שלישיים אחרים עימם התאגיד בא במגע;
- המשאבים הכרוכים בשמירה על הגנות סייבר, לרבות קיומו של כיסוי ביטוחי המתייחס לתקיפות סייבר;
- הפוטנציאל לפגיעה בנכסים ובכללם קנין רוחני ומוניטין, וכן, עוצמת הפגיעה האפשרית ביתרונות תחרותיים שיש לתאגיד;
- חוקים ותקנות קיימים או תלויים ועומדים, אשר עשויים להשפיע על העלויות הנלוות לתאגיד בקשר עם אותה רגולציה.
ב. סעיף "אירוע או ענין החורגים מעסקי התאגיד הרגילים" – במקרה של תקיפות סייבר מהותיות בתקופת הדוח, על התאגיד לבחון מתן תיאור תמציתי של עיקרי האירועים שהתרחשו בתקופת הדוח או הכללה על דרך הפניה של דוחות מידיים שפרסם התאגיד, שבמסגרתם נכלל תיאור אודות האירועים. התיאור יכלול, בהתאם לנסיבות ולעובדות ולמיטב ידיעת התאגיד, פרטים, כגון: זהות או סוג התוקפים, נסיבות התקיפה, כמות התקיפות ומשך זמן התקיפה. כמו כן האם להערכת התאגיד התקיפה הסתיימה, היקף וסוג הנזק שאירע, לרבות השלכות עקיפות, הערכת התאגיד האם אותר מלוא הנזק הישיר, התמודדות התאגיד עם התקיפה, הפקת לקחים והאמצעים שננקטו כדי למנוע תקיפה חוזרת מסוג זה ועוד.
אף אם לא קיים אירוע בודד מהותי אך התאגיד חווה מספר אירועים אשר במקובץ מהותיים, נדרש לבחון גילוי כאמור.
גילוי בדוח הדירקטוריון
ככל שהתאגיד סבור שחשיפתו לסיכוני סייבר הפכה בשנת הדוח למהותית יותר להבנת פעילותו באופן כללי, או אם אירעו תקיפה או תקיפות סייבר בעלי השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים (מאזני או תוצאתי), יובאו הסברי הדירקטוריון בעניין זה. הסברי הדירקטוריון ייתכן ויידרשו אף אם אין לאירוע השפעה ישירה על הדוחות הכספיים, אך פרטי האירוע תוארו כחלק מתיאור עסקי התאגיד בפרק "תיאור עסקי התאגיד" ("הברנע"). כך, למשל, אם תאגיד רכש ביטוח סייבר.
גילוי בדיווחים מיידיים
בּֽקְרות תקיפת סייבר, תאגיד נדרש, בין היתר, לבחון את מהותיות האירוע לצורך דיווח לציבור ולשם כך לשקלל את מכלול הנזק ופוטנציאל הנזק, הן במישרין והן בעקיפין.
להלן מספר דוגמאות, לא ממצות, לאירועים או עניינים בתחום הסייבר, אשר עשויים לחייב פרסום דיווח מיידי:
- פעילותו העסקית של תאגיד הופסקה לפרק זמן;
- מאגרי מידע נפרצו באופן אשר עלול להשפיע על פעילות התאגיד במישרין או בעקיפין. ככל שהמאגר מוגן ע"י דיני הגנת הפרטיות יש להתייחס לכך בנפרד ובנוסף;
- מערכת מחשוב של התאגיד, המהותית לפעילותו, ניזוקה באופן הפוגע מהותית בפעילות התאגיד;
- התאגיד נדרש לשלם כופר בסכום מהותי בעקבות תקיפת סייבר;
- התאגיד גילה כי גורמים עוינים "צותתו" למערכות המחשוב (כגון: דואר אלקטרוני), ונחשפו לסודות עסקיים או גילה כי נגנב מידע עסקי פרטי שחשיפתו עלולה לפגוע מהותית בתאגיד;
- במוצרי החברה או במערכות שהחברה בנתה או הייתה אחראית להן התגלתה פרצת אבטחה מתחום הסייבר שבגינה קיימת לחברה חשיפה מהותית (כיצרנית, כספקית המוצר וכד').
"סיכון סייבר" – סיכון להתרחשות תקיפת סייבר;
"הגנת סייבר" – מכלול הפעולות הנדרשות למניעה, להתמודדות ולטיפול בתקיפת סייבר, לצמצום השפעתה והנזק הנגרם ממנה, במהלכה ואחריה, ובכלל זה פעולות אבטחת מידע;
"תקיפת סייבר" – פעילות שנועדה לפגוע בשימוש במחשב או בחומר מחשב השמור בו.
הבהרה – האמור לעיל הינו תמצית בלבד. לקריאת עמדת הרשות, ליחצו כאן.
מחלקת שוק הון של משרדנו עומדת לרשותכם בכל שאלה בנושא.