דיווח על אירועי כשל טכנולוגי, אירועי אבטחת מידע ומתקפת סייבר

מבוא

1. ביום 18 בנובמבר 2024 פרסם הפיקוח על הבנקים את הוראת ניהול בנקאי תקין מס' 364 בנושא: "ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר" (להלן: "הוראה 364"). בהתאם לחוזר מס' ח-2799-06 (להלן: "החוזר") שליווה את פרסום ההוראה, הוראה 364 נכנסה לתוקף ביום
18 במאי 2026.

2. בסעיף 8 לחוזר נכתב כי "... על מנת ליצור אחידות בשימוש במונחים שנקבעו בהוראה זו גם במסגרת הרגולטורית הנוכחית בתחום טכנולוגיית המידע, בכוונת הפיקוח על הבנקים לפרסם התאמות להוראות הרלבנטיות, כמו הוראת נ.ב.ת. מס' 366 בנושא: "דיווח על אירועי כשל טכנולוגי וסייבר"...". העדכון הנוכחי להוראה כולל בין היתר את ההתאמות הנדרשות כאמור.

3. בנוסף, בוצעו עדכונים בהוראה שמקורם בלקחים שנלמדו ובתובנות שהתגבשו בפיקוח על הבנקים הנובעים מסקירה של תהליכי העבודה שהונהגו בתאגידים בנקאיים שונים לצורך היערכותם לקראת אירועי כשל טכנולוגי ואירועי אבטחת מידע, ומאופן יישום ההוראה בפועל על ידי התאגידים הבנקאיים בעת התרחשות אירועים כאמור.

4. האסדרה לא לוותה בפרסום דו"ח לפי חוק עקרונות האסדרה, התשפ"ב– 2021 (להלן בסעיף זה - "החוק"), וזאת בהתאם לקבוע בסעיף 34(ג)(2) לחוק, ובשל העובדה שההשפעות הישירות והעקיפות שצפויות להיות לאסדרה על הגורמים שעליהם היא נועדה לחול, לרבות עלות הציות לה, אינן מהותיות. האסדרה תהיה נתונה לבחינה בדיעבד על פי סעיף 36 לחוק, בתום 10 שנים ממועד כניסתה לתוקף.

5. לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגיד, החלטתי על עדכון הוראת ניהול בנקאי תקין מס' 366 בנושא "דיווח על אירועי כשל טכנולוגי ואירועי סייבר".

להמשך לחצו כאן