הרצוג פוקס ונעמן, קישור לדף הבית
מרכז מדיה

SEC פרסמה כללים חדשים ביחס לגילויים בנושא סייבר

רון בן מנחם ניר דאש יהושע רביץ מוחמד מואסי אופק גליפוליטי

30 יולי 2023

מה חדש?

רשות ניירות הערך בארה"ב (ה- SEC) פרסמה כללי גילוי חדשים בנושא סייבר, שיחולו הן בדיווחים מיידיים והן בדוחות השנתיים.

 

על מי חלים הכללים החדשים?

על כל החברות שניירות הערך שלהן רשומים למסחר בבורסה בארה"ב, לרבות Foreign Private Issuers.

 

אז מה חברות נדרשות לעשות?

חברות המדווחות ל- SEC נדרשות לכלול בדיווחים השנתיים והמיידים שלהן גילויים חדשים בנושא איומי וארועי סייבר.

 

מתי נדרש לעשות זאת?

לגבי דיווחים מיידיים: החל מה- 18 בדצמבר, 2023 **
לגבי דוחות שנתיים: עם פרסום הדוחות השנתיים לשנת 2023 ***

ביום 26 ביולי, 2023, פרסמה ה- SEC דרישות גילוי חדשות בנושא הסייבר, ובעיקר ביחס לגילויים של סיכוני סייבר, אירועי סייבר, וניהול הנושאים הללו בחברה (Cyber Governance). הכללים החדשים חוקקו מתוך הכרה של הרשות בחשיבות הנושא, ומתוך ההבחנה של הרשות שקיימת שונות רבה בדרך שבה חברות שונות מדווחות על הנושא.

בהתאם לכללי הגילוי החדשים, חברות המדווחות ל- SEC כ- Foreign Private Issuers, נדרשות לכלול בדיווחים המיידיים והשנתיים שלהן את הגילויים הבאים:

בדיווחים מיידיים על טופס 6-K:

  • החברה נדרשת לדווח על אירועי סייבר מהותיים שהיו מדווחים על פי דין מדינת הבית.
  • מועד הדיווח על אירוע סייבר הוא בסמוך לאחר שהחברה קבעה שאכן מדובר באירוע מהותי ****

בדוח השנתי על טופס 20-F:

חברה נדרשת לכלול שורה ארוכה של גילויים בנושא הסייבר, לרבות:

  • תיאור התהליכים לזיהוי, הערכת, וניהול איומי סייבר בחברה.
  • האם איומי סייבר, לרבות כתוצאה מאירועי סייבר שהתרחשו, השפיעו באופן מהותי, או צפויים להשפיע באופן מהותי על החברה.
  • תיאור הפיקוח של הדירקטוריון על איומי סייבר.
  • תיאור תפקידי ההנהלה בהערכת וניהול איומי סייבר, לרבות האם אחת הוועדות, או מנהלים בחברה, אחראים לתחום, ומה הניסיון או המומחיות (expertise) שלהם בתחום.

הגדרות:

  • סיכון סייבר: פוטנציאל לאירוע בלתי מורשה במערכות המידע של החברה או באמצעותן, אשר עלול לגרום להשפעה שלילית על הסודיות, האמינות, או הזמינות של מערכות המידע של החברה, או המידע הכלול בהן *****
  • אירוע סייבר: אירוע בלתי מורשה (או סדרת אירועים קשורים) במערכות המידע של הארגון או באמצעותן, אשר מסכן או מסכל את הסודיות, האמינות, או הזמינות של מערכות המידע של החברה או המידע הכלול בהן******

נזקים אפשריים של אירועי סייבר שיש לשקול בדיווחים:

ה-SEC הכירה בכך שהנזקים שעלולים להיגרם לחברה מאירועי סייבר עשויים לכלול, בין היתר:

  • הפרעה למהלך העסקים של החברה
  • אבדן רווחים
  • תשלומי כופר
  • עלויות התיקונים והשיפורים הנדרשים במערכות (remediation)
  • אחריות וחבויות לצדדים שלישיים שהמידע שלהם נפגע או נחשף
  • עלויות ביטוח אירועי הסייבר
  • עלויות ליטיגציה הקשורה לאירוע
  • פגיעה במוניטין ובאמון הלקוחות בחברה

 

מועד תחולה:

הדרישה לדיווחים המיידים על טופס 6-K תיכנס לתוקף במאוחר מבין (א) 90 ימים לאחר מועד הפרסום של החקיקה החדשה במרשם הפדרלי, ו-(ב) 18 בדצמבר, 2023. הדרישה לכלול את המידע בדוח השנתי על טופס 20-F, תיכנס לתוקף עם פרסום הדוחות השנתיים לשנת כספים אשר הסתיימה ב-15 בדצמבר, 2023 או לאחר מכן.

אנא פנו אלינו לכל שאלה

מחלקת חברות וניירות ערך
הרצוג פוקס נאמן

 

* עדכון הלקוחות הזה הנו סיכום בלבד. הוא מנסה לסכם בעמוד וחצי, פרסום בן 186 עמודים. אין להסתמך עליו, ובכל החלטה בנושא הדיווחים הנדרשים, יש לפנות להרצוג על מנת להיוועץ האם, מתי, איך, ומה לדווח.
** בכפוף לעיכוב אפשרי במועד פרסום החקיקה במרשם הפדרלי. הדרישה לדיווחים המיידים על טופס 6-K תיכנס לתוקף במאוחר מבין (א) 90 ימים לאחר מועד הפרסום של החקיקה החדשה במרשם הפדרלי, ו-(ב) 18 בדצמבר, 2023.
*** זאת, לחברות ששנת הכספים שלהם מסתיימת ב-31 בדצמבר 2023. במידה ושנת הכספים של החברה מסתיימת לפני ה- 15 בדצמבר 2023, לחברה תהא עוד שנה.
**** "…for a cybersecurity incident to trigger a disclosure obligation on Form 6-K, the registrant must determine that the incident is material, in addition to meeting the other criteria for required submission of the Form."
***** Cybersecurity threat means any potential unauthorized occurrence on or conducted through a registrant’s information systems that may result in adverse effects on the confidentiality, integrity, or availability of a registrant’s information systems or any information residing therein.
****** Cybersecurity incident means an unauthorized occurrence, or a series of related unauthorized occurrences, on or conducted through a registrant’s information systems that jeopardizes the confidentiality, integrity, or availability of a registrant’s information systems or any information residing therein.

 

תחומי עיסוק קשורים

עורכי דין קשורים

עוד חדשות

הרשות הלאומית לחדשנות טכנולוגית פרסמה מסלול חדש לעידוד השקעות של גופים מוסדיים בתעשייה עתירת ידע, באמצעות השקעה בקרנות הון סיכון
פורסמו להערות הציבור הוראות לחברות תשלומים בעניין ממשל תאגידי, ציות וניהול סיכונים ובעניין מיקור חוץ
עדכון לגבי חוק חדש המבטל את הפטור מחובות דיווח לעולים חדשים ותושבים חוזרים ותיקים ומטיל חובות דיווח בדבר זהות הבעלים שביושר
הרשמו
לדיוורים שלנו

    2020 © כל הזכויות שמורות. הרצוג פוקס נאמן
    Site by Gootte

    המידע המופיע באתר זה מסופק למטרות הסברה בלבד, אין להתייחס אליו כאל ייעוץ משפטי בכל נושא שהוא ואין להסתמך עליו ככזה. הרצוג פוקס נאמן אינם נושאים באחריות כלשהי בקשר לכל ההשלכות האפשריות הנובעות משימוש במידע המופיע באתר זה. גישה למידע הכלול באתר זה לא תיחשב בשום פנים ואופן כיצירת יחסי עורך דין-לקוח בין הרצוג פוקס נאמן לבין כל גורם הניגש לאתר זה. פנייה באמצעות דואר אלקטרוני לכל עורך דין שפרטיו מצוינים באתר זה, או שליחת מידע ללא הסכמה מוקדמת של הרצוג פוקס נאמן, לא תתפרש כיצירה אוטומטית של מערכת יחסי עורך-דין לקוח בין הרצוג פוקס נאמן לבין הצד השולח את הדואר האלקטרוני או המידע. החומר הכלול באתר זה נוצר על-ידי, ונשאר בבעלותם הבלעדית, של הרצוג פוקס נאמן. אסור לשכפל, להעביר, לפרסם או להפיץ בכל דרך אחרת את המידע הכלול באתר זה, אלא אם התקבלה הסכמתם בכתב ומראש של הרצוג פוקס נאמן. אתר זה עשוי להכיל קישורים לאתרי אינטרנט אחרים המופעלים על ידי צדדים שלישיים. הרצוג פוקס נאמן אינם נותנים חסות, מאשרים או תומכים בתוכן של כל אתר אינטרנט כאמור ואינם אחראים לתכנים המופיעים באתרים אלו.

     

    חפשו לפי
    חפשו לפי +

    Search