נבקש לעדכנכם אודות פרסומים חדשים של רשות ניירות ערך ("הרשות") מהימים האחרונים, אשר יש בהם כדי להשליך על הגילוי הנדרש בדוח התקופתי לשנת 2022. הפרסומים הינם בנושא סיכוני סייבר בתאגידים המדווחים וגילוי אודות אשראי מהותי של תאגידים מדווחים, כדלקמן:

1. דוח ריכוז ממצאי ביקורת רוחב בנושא סיכוני סייבר בתאגיד מדווח

במהלך שנת 2022 ביצעה מחלקת ביקורת והערכה ברשות ביקורת רוחב במטרה לבחון את תהליך הגילוי והדיווח של התאגידים המדווחים בנוגע לסיכוני סייבר ותקיפות סייבר. העמדה פורסמה על רקע העובדה שאיומי הסייבר הפכו בשנים האחרונות לסיכון משמעותי עבור חברות במגוון ענפי משק, לרבות תאגידים מדווחים, ולאור העובדה שהערכה וגילוי ביחס לסיכוני סייבר וגילוי בנוגע לתקיפות סייבר שחוו תאגידים מדווחים והטיפול בהן הופכים להיות משמעותיים יותר עבור משקיעים.

בין היתר, במסגרת הביקורת הרשות בחנה את המתודולוגיה בה השתמשו תאגידים לבחינת מהותיות סיכון הסייבר ובחינת סבירותה וכן בחינת האופן בו בחנו התאגידים את הצורך במתן גילוי למשקיעים ביחס לסיכוני סייבר ועוצמתם; אופי הגילוי בנוגע למדיניות ומנגנוני ההגנה בהם נקטו תאגידים להפחתת סיכון הסייבר ופיקוח על יישומה של המדיניות; היבטים בניהול סיכוני הסייבר, לרבות כלים להפחתת חשיפות; מתן גילוי על תקיפות סייבר שחוו תאגידים, לרבות אופן בחינת מהותיות המתקפות לצורך החלטה בדבר נחיצות הגילוי; אופן הטיפול בתקיפות סייבר לאחר התרחשותן ועוד.

הובהר, כי מדגם החברות שנבחנו בביקורת אינו מייצג את כלל ענפי הפעילות בשוק ההון וכי על כל תאגיד לבחון סיכוני הסייבר שחלים עליו לפי נסיבותיו הספציפיות, ובהתאם לכך לבחון את הצורך בהתאמתן של התובנות המוצגות בדוח הממצאים לפעילותם.

להלן עיקרי ממצאי הביקורת ועמדת סגל הרשות לגביהם:

1.1 ניהול סיכוני אבטחת מידע וסייבר – לאור ממצאי הבדיקה שהצביעו על מעורבות מעטה יחסית של הדירקטוריון בנוגע לפיקוח על היבטי הגנה מפני סיכוני סייבר ואופן ניהול סיכוני אבטחת מידע,^[1] הודגשה חשיבות מעורבות הדירקטוריון בפיקוח על בנייה ותפעול של מערך ניהול סיכוני סייבר יעיל. בין היתר, מעורבות הדירקטוריון יכולה לבוא לידי ביטוי בהעלאת נושא הסייבר באופן עיתי על סדר היום של דיוני הדירקטוריון וקבלת דיווחים שוטפים מאנשי הטכנולוגיה בחברה וכן עדכונים וייעוץ ממומחים חיצוניים במקרה הצורך. בדוח הממצאים הוצע כי הדירקטוריון יבחן את מידת נחיצותה והיקפה של המומחיות הטכנולוגית הנדרשת לצורך מילוי תפקידיו כראוי, לרבות הצורך במינוי דירקטור בעל מומחיות מסוג זה, בשים לב למאפייני החברה.

בהתאם לממצאי הרשות, מרבית החברות מפעילות מערך אבטחת מידע, כאשר במחציתן מדובר במערך עצמאי שמנוהל בעיקר על-ידי אנשי מערכות מידע ואנשי טכנולוגיה. רק במחצית מחברות המדגם נמצא כי קיימת תוכנית עבודה שנתית מסודרת, כאשר במחצית מאלו קיימת גם בקרה אחר ביצוע התוכנית על-ידי דרגים בכירים בחברה (כגון ועדת היגוי, ועדת אבטחת מידע, מנכ"ל, מנהל מערכות מידע ראשי ועוד). כמו כן, במרבית חברות המדגם (כ-83%) מערכי אבטחת המידע לא מיישמים תקנים מקובלים בתחום. לאור האמור, הרשות המליצה, בין היתר, כי תוצאות הערכת סיכוני הסייבר והתקשרויות עם מיקור חוץ בתחום יובאו בפני הדירקטוריון וכן שמערך אבטחת המידע בחברה יפעל בהתבסס על תכנית עבודה שנתית/רב-שנתית בתחום הסייבר, אשר ביצועה ויישומה יבוקרו על-ידי דרגים בכירים בחברה. עוד הומלץ לשקול יישומו של אחד מהתקנים המקובלים בתחום הסייבר.

הרשות מצאה כי כ-40% מחברות המדגם לא ביצעו הערכת סיכוני סייבר בשלוש השנים האחרונות וכמעט מחצית מאלו שביצעו הערכת סיכונים כאמור לא הציגו את תוצאותיה בפני הדירקטוריון. כמו כן, על אף שרוב החברות שביצעו הערכת סיכוני סייבר קבעו תוכנית לצמצום החשיפות שעלו במסגרתה, פחות משליש מהן יישמו את התוכנית במלאה. לעמדת הרשות, מומלץ לבסס את מרכיבי ניהול סיכוני הסייבר של החברות בהתאם לכלים מקובלים שונים, כגון הערכת סיכונים באמצעות סקר סיכונים, שכנגזרת ממנו תיקבע ותיושם תוכנית לצמצום חשיפות וכן ביצוע בקרה על אופן ניהול סיכוני סייבר באמצעות ביקורת פנים^[2].

1.2 גילוי בנוגע לסיכוני סייבר ומתקפת סייבר – מתן גילוי להיבטי סייבר עשוי להידרש בתשקיף ובדוח תקופתי, בדוח הדירקטוריון וכן בדיווחים מיידיים, ובפרט במסגרת תיאור גורמי הסיכון בדוח התקופתי. לעניין דירוג הסיכון (גבוה/בינוני/נמוך) הרשות הבהירה כי על הגילוי להתייחס לסיכון השיורי לו חשופה החברה בפועל (בין היתר, בהתחשב בבקרות הקיימות בחברה). עמדת סגל הרשות היא כי על מנת להבטיח את גילוי כלל גורמי הסיכון הרלוונטיים לחברה במסגרת דוחותיה התקופתיים, לרבות סיכוני סייבר ואבטחת מידע, מומלץ על יישום תהליך הערכת סיכונים סדור המתבסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, אשר יהווה בסיס לדיון בדירקטוריון החברה בנוגע לגורמי הסיכון, דירוגם וגילוים בדוחות התקופתיים. הובהר, כי יש לקחת בחשבון בבחינת מהותיות הסיכון את ההסתברות לקרות האירוע וההשפעה האפשרית שלו, וכי על התאגידים להקפיד כי דירוג השפעת הסיכון על החברה יתבצע בהתייחס לסיכון השיורי לו חשופה החברה הלכה למעשה.

1.3 היערכות מוקדמת להתמודדות עם תקיפות סייבר – תקיפת סייבר עשויה להיחשב אירוע מהותי ולפיכך תאגיד נדרש בין היתר לשקלל את פוטנציאל הנזק ומכלול הנזק שנגרם או עתיד להיגרם לו, ולבחון את הצורך בדיווח לציבור. בהתאם לממצאי הרשות, במרבית חברות המדגם לא קיימת התייחסות לתקיפות סייבר בנוהל רלוונטי ולא הסדירו את תהליך הגילוי בנוגע לאירוע מהותי כלשהו במסגרת נהלי עבודה. לאור העובדה שהיערכות מוקדמת להתמודדות עם תקיפות סייבר עשויה להקל על התנהלות תאגיד בעת משבר, סגל הרשות המליץ כי היערכות כאמור תכלול גם קביעת נהלים ותהליכים הקשורים לחובות הדיווח של החברה, ובין היתר, עיגון תהליכים ונהלים נדרשים לעניין גילוי בעת קרות תקיפת סייבר מהותית. כן הומלץ להתייחס לצורך בקיומו של דיון בדירקטוריון החברה לצורך קביעת מהותיות האירוע ומתן גילוי בעניינו. עוד הומלץ, כי במסגרת ניהול אפקטיבי של סיכוני סייבר, תובא בחשבון גם בחינה של נחיצות מינוי צוות תגובה, לרבות אופיו, הרכבו, סמכויותיו והכשרתו (לרבות קיום תרגולים והדרכות באופן עיתי לצוות זה).

1.4 גילוי על התרחשותן של מתקפות סייבר – קיימת חשיבות כי הצד העסקי גם יהיה מעורב בטיפול, לצד הפונקציות העוסקות בפן הטכנולוגי בארגון, או לכל הפחות שהצד העסקי יהיה מעודכן בפרטי התקיפה תוך בחינת השפעתה על תהליכיו העסקיים של התאגיד ולצורך קביעת מהותיות האירוע לשם בחינת הצורך במתן גילוי לגביו. כאמור לעיל, לעמדת הרשות, במסגרת הקווים המנחים שייקבעו בנהלי עבודה של התאגיד, מומלץ להתייחס לצורך בקיומו של דיון בדירקטוריון החברה או בהנהלתה הבכירה לצורך קביעת מהותיות האירוע ובחינת הצורך במתן גילוי בעניינו.

דוח הממצאים זמין באתר הרשות כאן.

בהתאם לאמור בדוח הממצאים מוצע כי התאגידים המדווחים ישקלו לאמץ נהלים ייעודיים בנושא ניהול סיכוני הסייבר ואבטחת המידע בתאגיד, אשר יתייחסו בין היתר, לסוגיית מעורבות הדירקטוריון בנושא ותפקידיו, לרבות קיום דיונים עיתיים בנושא, ביצוע סקר סיכון עיתי ותוכניות להפחתת הסיכונים, הוראות לעניין אופן הטיפול באירועי סייבר ואבטחת מידע, וכן לעניין הגילוי הנדרש בעת קרות תקיפת סייבר מהותית ועוד.

2.  עדכון החלטה 105-33: גילוי בנושא סייבר

עמדת הסגל עודכנה בעיקר לשם הוספת תמצית ממצאי הביקורת שנערכה בתאגידים מדווחים בנושא כאמור לעיל. העדכונים העיקריים שבוצעו בעמדה הינם כדלקמן:

2.1 עדכון הגדרת "תקיפת סייבר" או "אירוע סייבר" – תקיפה במרחב הסייבר או פעילות אחרת שנועדה לסכן נכסי סייבר או מערכות ותשתיות הנתמכות על-ידיהם.

2.2   הוספת התייחסות בעניין גילוי על מדיניות ניהול סיכוני סייבר – אם קיים בתאגיד סיכון סייבר מהותי, עליו לפרט את אסטרטגיית ניהול הסיכונים בנושא, הכוללת את מדיניות ניהול הסיכון, נהלים, תהליכי עבודה, פעולות ובקרות, הערכתו בדבר אפקטיביות מדיניות ניהול הסיכונים ועוד. בנוסף, יש לציין אילו משאבים מוקצים לניהול סיכוני הסייבר וזהות הגורם המאשר את מדיניות ניהול סיכון הסייבר בתאגיד ובעל התפקיד שאחראי ליישום המדיניות.

2.3  הוספת התייחסות בעניין גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר – במסגרת מידע על השכלתם ועיסוקם של הדירקטורים ונושאי המשרה בחמש השנים האחרונות בהתאם לתקנות 26 ו-26א לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש"ל-1970 ("תקנות דוחות תקופתיים ומיידיים") יש לפרט במידה ולנושא המשרה יש ניסיון, מומחיות או מיומנות בנושא אבטחת מידע או סייבר. כמו כן, אם התאגיד בחר להשתמש בשירותי מיקור חוץ ומומחים חיצוניים יש לפרט זאת כחלק ממדיניות ניהול הסיכון.

2.4  הבהרת אופן בחינת מהותיות דיווח מיידי אודות אירוע סייבר – הובהר כי במסגרת בחינת מהותיות האירוע יש לשקלל את מכלול הנזק ופוטנציאל הנזק שנגרם/עלול להיגרם כתוצאה מהתקיפה, במישרין ובעקיפין. מהותיות של אירוע צריכה להיבחן לפי פרמטרים כמותיים ואיכותיים וייתכן שאירוע יחייב דיווח מיידי גם במקרים בהם לא צפוי נזק כספי ממשי לתוצאות התפעוליות, אך קיימת השפעה מהותית על התאגיד במישור האיכותי. עוד הובהר כי מקום בו קמה חובת דיווח מיידי בקשר עם איומי או תקיפות סייבר, קיימת לו גם הזכות לעכב את הדיווח בהתאם להוראות תקנות דוחות תקופתיים ומיידיים (כאשר זכות העיכוב פוקעת אם המידע פורסם ברבים).

2.5  תיאור תקיפות סייבר מהותיות במסגרת דוח תקופתי – הובהר כי אם פורסם דיווח מיידי על אירוע סייבר, על התאגיד לבחון האם התגלה מידע מהותי נוסף בנוגע לאירוע ולפרטו בדוח התקופתי. מידע נוסף כאמור יכול לכלול השפעות על המצב הפיננסי של התאגיד, שינוי במדיניות החברה בעקבות האירוע ועוד.

העמדה המעודכנת זמינה באתר הרשות כאן.

3. עדכון עמדה משפטית מספר 104-15: אירוע אשראי בר דיווח

העדכונים העיקריים שנוספו בעמדה הינם כדלקמן:

3.1  נוספו הגדרות ל"הלוואה עם תניית הפרה צולבת" (cross default) וכן "הלוואה עם תניית הפרה צולבת מהותית". בין היתר, הובהר כי "הלוואה עם תניית הפרה צולבת מהותית" כוללת גם הלוואה שאינה עומדת בפני עצמה בהגדרת הלוואה מהותית בהכרח, אולם הפרה של אמת מידה בה תקים (בין במישרין ובין בעקיפין כתוצאה מאירוע הפרה צולבת) למלווים עילה לפירעון מיידי של הלוואות שסכומן במצטבר עומד במבחנים הכמותיים של הגדרת הלוואה מהותית. כמו כן, נוספו לעמדה הנחיות בנוגע לגילוי שנדרש בגין תנייה כאמור במסגרת דיווחים מיידיים ותשקיפים ודוחות עיתיים.

בין היתר, ביחס להלוואה עם תניית הפרה צולבת מהותית כאמור שאינה עומדת בפני עצמה בהגדרת הלוואה מהותית, הובהר כי בהיעדר נסיבות מיוחדות, במסגרת תשקיפים ודוחות עיתיים, חלף גילוי פרטני בגין כל הלוואה ניתן לכלול גילוי מקובץ של סכום ההלוואות הקשורות זו בזו בתניית ההפרה הצולבת, התייחסות בדבר עמידה או אי עמידה באמות המידה הפיננסיות (ככל שקיימות) ופירוט תוצאות חישובה של כל אמת מידה מהותית. הגילוי כאמור יינתן במתכונת טבלאית, שתכלול את אמת המידה המהותית, החישוב לתאריך החתך וסכום ההלוואות שיועמדו לפירעון מיידי במקרה הפרה.

3.2  נוספו אירועים חדשים המחייבים דיווח מיידי אודות אירוע אשראי בר דיווח ואודות הפרה או פעולה שנועד למנוע הפרה של הסכם אשראי מהותי – ובכלל זה: דחייה או מימון מחדש (גלגול) של פירעון חלק מהותי מהלוואה, בין אם באמצעות דחיית מועד הפירעון בהסכמה או אגב החלטה ליטול אשראי חדש שישמש לפירעון ההלוואה (כולה או חלק מהותי ממנה); אם מלווה הודיע לתאגיד כי קמה לו עילה להעמדת הלוואה מהותית לפירעון מיידי; פירעון מוקדם של חלק מהותי מההלוואה שאילולא היה מבוצע הייתה קמה עילה להעמדת ההלוואה לפירעון מיידי; שינוי מהותי בהיקף הבטוחות בגין ההלוואה שאילולא היה מבוצע הייתה קמה עילה להעמדת ההלוואה לפירעון מיידי; קמה למלווה עילת העמדה פירעון מיידי שכתוצאה ממנה תקום עילה להעמדה לפירעון מיידי של הלוואה אחרת בגין תניית הפרה צולבת; ועוד.

העמדה המעודכנת זמינה באתר הרשות כאן.

[1]  בין היתר, נמצא כי נוהל אבטחת מידע לא אושר כלל על-ידי הדירקטוריון וב-70% מחברות המדגם חברי הדירקטוריון אינם מקבלים דיווחים עיתיים בנוגע לסטטוס הגנת הסייבר ואבטחת המידע בחברה ואינם מקיימים דיונים בנושא.

[2]  בהקשר זה צוין כי מבקרי הפנים של כ-40% מחברות המדגם לא ביצעו בחינה ברמה זו או אחרת של היבטי אבטחת מידע וסיכוני סייבר בשלוש השנים האחרונות.

מובהר, כי הסקירה שלהלן הינה אינפורמטיבית ותמציתית בלבד, במטרה להפנות את תשומת הלב לקיומו של עדכון בנושא מסוים, ואין בה כדי לסכם את מלוא חובות הדיווח החלות על תאגידים מדווחים או להוות חוות דעת משפטית. ככל שמתעורר צורך בייעוץ משפטי קונקרטי בקשר עם הנושאים המוצגים בסקירה זו, מוצע לפנות לקבלת ייעוץ ייעודי על בסיס נסיבות כל מקרה ומקרה. בכל שאלה או צורך בהבהרה בקשר עם העניינים המפורטים בסקירה זו, ניתן לפנות לאנשי הקשר שלכם במשרדנו או לעו"ד גור נאבל, שותף וראש תחום שוק הון, בדוא"ל: Gur.Nabel@goldfarb.com ו/או בטלפון 03-6089802, או לעו"ד הדר ציקינובסקי שהרבני, שותפה במחלקת תאגידים ושוק הון, בדוא"ל: Hadar.Sharabani@goldfarb.com ו/או בטלפון 03-6089332.