ביום 21 באוקטובר 2018, פרסם סגל רשות ניירות ערך עמדה משפטית מספר 105-33 – גילוי בנושא סייבר.

להלן עיקרי העמדה:

  1. גילוי בתשקיף ובדו"ח התקופתי:
  • גורמי סיכון – סעיף 39 לתוספת הראשונה לתקנות ניירות ערך (פרטי התשקיף וטיוטת התשקיף – מבנה וצורה), התשכ"ט – 1969 ("התוספת הראשונה"), מסדיר את חובות הגילוי ביחס לגורמי הסיכון של התאגיד. סיכוני סייבר מהווים גורם סיכון, לכן אם קיים לתאגיד סיכון סייבר מהותי הרלוונטי לפעילותו, הגילוי של גורם סיכון זה צריך לכלול את תיאורו, התייחסות לקיום מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה.

השאלה בדבר מהותיות סיכוני הסייבר, תלויה בגורמים שונים שנכללים בעמדה.

  • גילוי על אירועים החורגים מעסקי התאגידים הרגילים – לפי סעיף 36 לתוספת הראשונה, כאשר מתקיימות תקיפות סייבר מהותיות בתקופת הדו"ח, על התאגיד לבחון תיאור תמציתי של עיקרי האירועים שהתרחשו במהלך התקופה או הכללה על דרך הפניה של דוחות מידיים שפרסם התאגיד שבמסגרתם נכלל תיאור אודות האירועים.
  1. גילוי בדו"ח הדירקטוריון: לפי תקנה 10 וסעיף 6 בתוספת הראשונה לתקנות ניירות ערך (דוחות תקופתיים ומידיים), התש"ל- 1970 ("תקנות הדוחות"), יש לגלות בדו"ח הדירקטוריון את מצב ענייני התאגיד והשפעת גורמים חיצוניים. תאגיד שסבור כי חשיפתו לסיכוני סייבר הפכה למהותית על אחד או יותר מסעיפי הגילוי אודות הדוחות הכספיים, יציג את הסברי הדירקטוריון בעניין.
  2. גילוי בדיווחים מידיים: לפי תקנה 36(א) לתקנות הדוחות, יש לגלות על כל אירוע או עניין החורגים מעסקי התאגיד הרגילים. כאשר מתרחשת תקיפת סייבר, התאגיד נדרש לבחון את מהותיות האירוע לטובת דיווח לציבור. לשם כך, עליו לשקלל את מכלול הנזק והפוטנציאל ממנו, במישרין ובעקיפין. בדיווח זה, יכלול התאגיד כל פרט חשוב להערכת השלכות האירוע המדווח על עסקי התאגיד, ובין השאר יפורטו תיאור האירוע, תיאור הנזק והערכתו ודיווחים משלימים על האירוע.

לעמדת סגל הרשות במלואה לחצו כאן.

*******

מסמך זה כולל מידע כללי בלבד ואינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי. מסמך זה מוגש כשירות ללקוחותינו, תוך הבהרה שבכל מקרה ספציפי יש לקיים דיון נפרד לגופו של עניין.  נשמח לעמוד לרשותכם בכל נושא הקשור במסמך זה.

חדשות