דיווח על אירועי כשל טכנולוגי ואירועי סייבר

(ניהול בנקאי תקין הוראה מס' 366)

 

 
cyber security, Image by Tumisu from Pixabaycyber security, Image by Tumisu from Pixabay
 

אדם כהן
LinkedinFacebookTwitter Whatsapp
26/11/2021

מבוא

ניהול וטיפול יעיל באירועי כשל טכנולוגיים ואירועי סייבר הוא חיוני ומהווה אבן יסוד להמשך תפקוד ומתן שירותים על ידי התאגיד הבנקאי בעת אירוע מסוג זה. הפיקוח על הבנקים רואה בדיווח אליו על אירועים כאמור, את אחד מהעקרונות המרכזיים עליהם מושתת ניהול נאות של סיכוני טכנולוגיית המידע, ובכלל זה ניהול וטיפול בסיכוני אבטחת מידע וסייבר. לדיווחים על אירועים כאמור, מטרות רבות אותן מפרט סעיף 1 לחוזר הפיקוח על הבנקים מס' ח- 06- 2643 בנושא: "דיווח על אירועי כשל טכנולוגי ואירועי סייבר" מיום 29.12.20. אחד המוטיבים המקשרים בין מטרות אלו הוא הצורך בצמצום השפעה מערכתית של האירוע הן ברמת התאגיד הבנקאי, הן ברמת הקבוצה הבנקאית עליה הוא נמנה, והן על שאר המערכת הבנקאית בישראל. בהתאם לכך קובע סעיף 4 להוראה כי: "הדיווח יחול על כל תאגיד בנקאי בנפרד, גם אם האירוע מתרחש בו זמנית במספר תאגידים בנקאיים השייכים לקבוצה בנקאית אחת".

יחד עם זאת, חלק מהתאגידים הבנקאיים שולטים בתאגידים אשר אינם נכללים בגדר תחולת ההוראה לפי סעיף 3(א) שלה (להלן: "תאגיד"), לדוגמא: תאגיד שבשליטת "סולק" כהגדרתו בסעיף 36ט בחוק הבנקאות (רישוי), התשמ"א 1981 או תאגיד כמצוין בסעיף 11(א)(2) לחוק בנקאות (רישוי) - תאגיד חוץ שאילו ניהל עסקים בישראל היה חייב ברישיון לפי חוק זה - שבשליטת התאגיד הבנקאי, ועל כן ייתכן ואירועים המתרחשים באותו תאגיד לא ידווחו לפיקוח על הבנקים בהתאם להנחיות ההוראה והוראת הדיווח הנלווית לה.

בהתאם לכך קובע העדכון כי אירועי כשל טכנולוגי ואירועי סייבר שהתרחשו בתאגיד שבשליטת התאגיד הבנקאי ואשר יש להם השפעה מהותית על התאגיד הבנקאי, על הקבוצה הבנקאית כולה או על המערכת הבנקאית כולה, בין היתר בהיבטי טכנולוגיה, מוניטין ופיננסים, נדרשים בדיווח לפיקוח על הבנקים בבנק ישראל באמצעות התאגיד הבנקאי השולט בהם.

לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגיד, החלטתי על עדכון הוראת ניהול בנקאי תקין מס' 366 בנושא "דיווח על אירועי כשל טכנולוגי ואירועי סייבר".

התיקונים להוראות

סעיף 6 להוראה – סוגי אירועים המחייבים דיווח

התווספו המילים "של התאגיד הבנקאי" בסעיף 6.2.

התווסף סעיף 6.5 לפיו גם אירוע כאמור בסעיפים 6.1 – 6.4 להוראה, המתרחש בתאגיד שבשליטת תאגיד בנקאי שהוא עצמו אינו תאגיד בנקאי (להלן: "תאגיד"), ויש לו השפעה מהותית, בין היתר, בהיבטי טכנולוגיה, מוניטין ופיננסים, על התאגיד הבנקאי השולט בו, על הקבוצה הבנקאית או על המערכת הבנקאית, חייב בדיווח לפיקוח על הבנקים. 

הדיווח על האירוע, תחקורו ואישור התחקיר יהיו בהתאם להנחיות ההוראה ובאחריות התאגיד הבנקאי.

סעיף 14 להוראה – תחקור אירוע

בהתאם לתיקון, נוהל תחקור האירוע הקיים בתאגיד הבנקאי יתייחס גם למקרה של התרחשות אירוע בתאגיד המחייב בדיווח לפיקוח על הבנקים, ככל שקיים תאגיד בשליטת התאגיד הבנקאי.

תחילה והוראות מעבר

6. תחילת התיקונים להוראה הינה חודש מיום פרסומם.

להמשך לחצו כאן.