Image by Pete Linforth from Pixabay
רשות שוק ההון
17/02/2022
בתוקף סמכותי לפי סעיפים 4(א) ו-39(א) לחוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים), תשע"ו-2016 (להלן – "חוק הפיקוח על שירותים פיננסיים"), ובתוקף סמכותי לפי סעיפים 29(ג)(3), 35(ב), ו-62(ב) לחוק שירות מידע פיננסי, התשפ"ב-2021 (להלן – "חוק שירות מידע פיננסי"), ולאחר התייעצות עם הוועדה המייעצת, להלן הוראותיי:
כללי
הפעילות העסקית של חלק מנותני השירותים הפיננסיים היא עתירת טכנולוגיה ומתבצעת, במלואה או בחלקה, באופן מקוון. הדבר בא לידי ביטוי, בין היתר, בשמירת מידע אודות לקוחות ואף ניהול ושמירת נכסים פיננסיים המתבצעים באופן מקוון. כמו כן, חלק מנותני השירותים הפיננסיים מבקשים לקבל או נדרשים להעביר מידע באופן ממוכן בהתאם לחוק נתוני אשראי, התשע"ו-2016 וכן בהתאם לחוק שירות מידע פיננסי.
פעילות מקוונת חושפת את נותני השירותים הפיננסיים לאיומים קיברנטיים ולמתקפות סייבר אשר עלולים לשבש את פעילותם התקינה, ולגרום בין היתר לדליפת מידע ולשיבושו ואף לפגיעה בנכסי הלקוחות. בנוסף, קיומם של ערוצי קשר המאפשרים העברת מידע בין גופים שונים במערכת הפיננסית, עלול להביא לסיכוני הדבקה וסיכונים מערכתיים לכלל השוק. לפיכך, עולה הצורך לקבוע הוראות הנוגעות לניהול סיכוני הסייבר של נותני שירותים פיננסיים. לאור הסיכון הגבוה בתחום הגנת הסייבר הכרוך בפעילותם של נותני שירותים פיננסיים המבצעים פעילות מהותית באמצעות מערכות דיגיטליות ומקוונות, ולאור קשרי הגומלין המתקיימים בין גופים שונים במערכת הפיננסית, נותני שירותים פיננסיים נדרשים לאמץ סטנדרטים גבוהים בתחום זה.
מטרת חוזר זה היא אם כן לקבוע עקרונות להגנה מפני סיכוני סייבר בנותני שירותים פיננסיים כדי להבטיח את קיום התהליכים העסקיים והפעילות התקינה של נותן השירותים הפיננסיים וכן שמירה על סודיות, שלמות וזמינות של מערכות המידע ונכסי המידע של נותן השירותים הפיננסיים ושל לקוחותיו. בהתאם לחוזר זה, מסגרת ניהול סיכוני הסייבר בנותן שירותים פיננסיים תכלול פעולות של מניעה, נטרול, חקירה והתמודדות עם איומי ואירועי סייבר, במטרה לצמצם את השפעתם והנזק הנגרם מהם ללקוחות ולמערכת הפיננסית, בטרם התרחשותם, במהלכם ולאחריהם.
החוזר מגדיר עקרונות המחייבים כי ניהול סיכוני הסייבר יתבצע באופן אפקטיבי, עדכני ושוטף, על בסיס עקרונות ממשל תאגידי נאותים הכוללים, בין השאר, התייחסות לשיטות, לתהליכים ולבקרות, ובאופן המאפשר להתמודד עם איומי סייבר וניהול אירועי סייבר.
חוק הפיקוח על שירותים פיננסיים מסדיר את פעילותם של גופים רבים ומגוונים אשר נבדלים זה מזה בסוג השירות שהם מספקים וכפועל יוצא מכך, גם ברמת סיכוני הסייבר שמעלה פעילותם העסקית. כדי לתת מענה הולם, מותאם ומדורג לניהול הסיכון בהתאם לפעילות העסקית של בעל הרישיון, , הוחלט לקבוע בשלב זה הוראות בעניין ניהול סיכוני סייבר שיחולו על בעלי רישיון שפעילותו היא בעלת רמת החשיפה הגבוהה והמשמעותית ביותר לסיכוני סייבר. כאמור לעיל, רמת החשיפה לסיכוני הסייבר בפעילות נותני שירותים פיננסיים עולה ככל שנתח משמעותי יותר מפעילותם מתבצע באופן מקוון, בין אם מדובר בשירות הניתן על ידם ללקוח ובין אם בממשקים שהם מקיימים עם גופים פיננסיים אחרים לצורך מתן השירות. כמו כן, סיכון סייבר משמעותי גלום בפעילות המתאפיינת בניהול ובשמירה של מידע שמתייחס הן ללקוחות והן לנכסי הלקוחות באופן ממוכן, והכל כמפורט בהוראות החוזר.
תיקון החוזר המאוחד
בחוזר המאוחד לעניין שירותים פיננסיים מוסדרים, בחלק 5 ('ניהול סיכונים והלבנת הון'), בפרק 3 ('ניהול סיכוני סייבר') יבוא סימן א' ('ניהול סיכוני סייבר בנותני שירותים פיננסיים') וסעיפים 1-6, המצורפים כנספח לחוזר זה.
תחולה
הוראות חוזר זה יחולו על נותן שירותים פיננסיים שהוא אחד מאלה:
בעל רישיון למתן שירות פיקדון ואשראי;
בעל רישיון להפעלת מערכת לתיווך באשראי;
בעל רישיון למתן שירות בנכס פיננסי אשר נותן שירות שבו נשמר ומנוהל נכס פיננסי בחשבון ייעודי המנוהל עבור לקוח מסוים, ואשר מאפשר העברת נכס פיננסי לחשבון אחר. לעניין זה אין נפקא מינה אם מקבל הנכס ומעביר הנכס הם אותו אדם.
כל בעל רישיון למתן שירותים פיננסיים שאינו מנוי לעיל, ואשר מתקיים בו אחד מאלה:
הוא שומר באופן מקוון הן את המידע על לקוחותיו וכן את הנכסים הפיננסיים של לקוחותיו;
הוא משמש מקור מידע או משתמש בנתוני אשראי כהגדרתם בחוק נתוני אשראי, התשע"ו-2016;
הוא פועל או מבקש לקבל אישור לפעול כנותן שירות מידע פיננסי כהגדרתו בחוק שירותי מידע פיננסי.
תחילה
תחילתו של חוזר זה שנה לאחר פרסומו.
על אף האמור בסעיף א:
תחילתו של חוזר זה לעניין גופים המנויים בסעיף ד(3) לתחולה תהיה מיום פרסומו.
תחילתו של סעיף 4(ה)(1), לגבי הסכמי התקשרות קיימים, תהיה במועד חידושם.
