רשות ניירות ערך: אירוע סייבר מחייב דיווח

התקפת סייבר שהביאה להפסקת הפעילות העסקית של תאגיד לפרק זמן, חשיפה לחומרים רגישים ותשלום כופר הן חלק מהדוגמאות אותן סיפקה הרשות כאירועים שמחייבים דיווח. הרחבת חובת הגילוי והדיווח נחשבת לגורם מעודד לרכישת ביטוח סייבר

רשות ניירות ערך פרסמה היום (א’) עמדה משפטית הנוגעת לחובת הגילוי והדיווח בנושא סייבר. במסגרת העמדה פירטה הרשות את המקרים שלפי השקפתה מחייבים דיווח מיידי של החברות הציבוריות לציבור המשקיעים. הרחבת חובת הגילוי והדיווח נחשבת לגורם מעודד לרכישת ביטוח סייבר.

הדוגמאות לדיווח אותן הזכירה הרשות הן: התקפת סייבר שהביאה להפסקת הפעילות העסקית של תאגיד לפרק זמן; מאגרי מידע שנפרצו באופן שעלול להשפיע על פעילות התאגיד במישרין או בעקיפין; מערכת מחשוב של התאגיד, המהותית לפעילותו, ניזוקה באופן הפוגע מהותית בפעילותו; התאגיד נדרש לשלם כופר בסכום מהותי בעקבות תקיפת סייבר; התאגיד גילה כי גורמים עוינים “צותתו” למערכות המחשוב (כגון דואר אלקטרוני), ונחשפו לסודות עסקיים או גילה כי נגנב מידע עסקי פרטי שחשיפתו עלולה לפגוע מהותית בתאגיד; במוצרי החברה או במערכות שהחברה בנתה או הייתה אחראית להן התגלתה פריצת אבטחה מתחום הסייבר שבגינה קיימת לחברה חשיפה מהותית כיצרנית, כספקית המוצר וכדומה.

על פי הרשות, סיכוני סייבר מהווים גורם סיכון ככל סיכון אחר. לכן, אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילותו, על הגילוי לשווקים לכלול תיאור בעניינו, התייחסות לקיומה של מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה. כאשר תאגיד בוחן את מהותיות סיכוני הסייבר, רצוי לשקול בין היתר את הגורמים הבאים: התרחשות תקיפות סייבר קודמות, לרבות חומרתן ותדירותן, ההסתברות להתרחשות תקיפות נוספות, אפקטיביות יכולות התאגיד למנוע או להקטין את החשיפה, היבטים עסקיים של התאגיד ופעילותו, היוצרים סיכונים מהותיים בתחום הסייבר והעלויות וההשלכות הפוטנציאליות של סיכונים אלה. גורם נוסף מתחום הביטוח: המשאבים הכרוכים בשמירה על הגנות סייבר, לרבות קיומו של כיסוי ביטוחי המתייחס לתקיפות מסוג זה. הפוטנציאל לפגיעה בנכסים ובכללם קניין רוחני ומוניטין, וכן עוצמת הפגיעה האפשרית ביתרונות תחרותיים שיש לתאגיד.

Be the first to comment

Leave a Reply