דיווח על אירועי כשל טכנולוגי ואירועי סייבר

מבוא

חוק "שירות מידע פיננסי" קובע (סעיף 31. (א) לחוק): "אירע אירוע אבטחה חמור כמשמעותו בהוראות לפי סעיף 36 לחוק הגנת הפרטיות, יודיע על כך נותן השירות באופן מיידי למאסדר נותן השירות הנוגע  בדבר, למקור המידע שאירוע האבטחה אירע לגבי מידע שהתקבל ממנו ולרשם כהגדרתו בסעיף 7 לחוק הגנת הפרטיות (בסעיף זה – הרשם), וכן ידווח למאסדר נותן השירות ולרשם על הצעדים שנקט בעקבות האירוע; קיבל נותן השירות את המידע מנותן שירות אחר שאסף אותו, בהתאם להוראות סעיף 29(א)(3) – יודיע על כך באופן מיידי גם לנותן השירות שממנו קיבל את המידע; קיבל מקור המידע הודעה לפי סעיף קטן זה, ידווח על כך ללא דיחוי למאסדר מקור המידע".

מתוך רצון להקל על התאגידים הבנקאיים בדיווח על מגוון האירועים בהם הם חייבים בדיווח לפיקוח על הבנקים ולאחד אותם, קבע הפיקוח על הבנקים שאופן הדיווח על "אירוע אבטחה חמור" לפיקוח על הבנקים כמאסדר מקור המידע, במסגרת פעילותו של התאגיד הבנקאי כמקור מידע או כנותן שירות כאמור בחוק, יהיה בהתאם לקבוע בהוראת נב"ת 366.

האסדרה לא לוותה בפרסום דו"ח לפי חוק עקרונות האסדרה, התשפ"ב-2021 וזאת לאור פעולות משמעותיות שבוצעו לפני כניסת החוק לתוקף, בהתאם להחלטת הנגיד.

לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגיד, החלטתי על עדכון הוראת ניהול בנקאי תקין מס' 366 בנושא "דיווח על אירועי כשל טכנולוגי ואירועי סייבר".

התיקונים להוראת ניהול בנקאי תקין מס' 366

התוסף סעיף 6.6 הקובע כי גם אירוע אבטחה חמור כמשמעותו בסעיף 31 לחוק שירות מידע פיננסי (התשפ"ב -2021), המתרחש אגב פעילותו של התאגיד הבנקאי כמקור מידע או כנותן שירות מידע פיננסי בהתאם לחוק זה, יהיה סוג אירוע המחויב בדיווח לפיקוח על הבנקים באופן המפורט בהוראה. 

התיקונים להוראת דיווח לפיקוח על הבנקים מס' 880

נוסף בסעיף 15 "סוג אירוע": "5 – אירוע אבטחה חמור בהתאם לסעיף 6.6 בהוראת נב"ת 366".