לקוחות וידידים נכבדים, 

בימים האחרונים פרסמה מחלקת תאגידים ברשות ניירות ערך עדכונים לעמדותיה בעניין "גילוי בנושא סייבר" ובעניין "אירוע אשראי בר דיווח". עדכונים אלו עשויים להשליך, בין היתר, על הגילוי הנדרש בדוחות התקופתיים לשנת 2022 של התאגידים המדווחים. להלן יפורטו עיקרי העדכונים האמורים.

1. עיקרי עדכון רשות ניירות ערך לעמדתה המשפטית בעניין "גילוי בנושא סייבר":

העדכון לעמדה המשפטית נערך על רקע ביקורת רוחב שביצעה מחלקת ביקורת והערכה ברשות במהלך שנת 2022 במטרה לבחון את תהליך הגילוי והדיווח של תאגידים מדווחים בכל הקשור לסיכוני סייבר ותקיפות סייבר.

להלן התובנות העיקריות של ממצאי הביקורת: 

• קיימת חשיבות למעורבות של הדירקטוריון ונושאי המשרה בתאגיד באיתור, ניהול ופיקוח של סיכוני סייבר ואבטחת מידע.

• קיים ערך בניהול סיכוני סייבר באמצעות שימוש בכלים מקובלים, דוגמת סקר סיכונים, קביעת תכנית עבודה עתית וביצוע בקרות.

• יישום תהליך הערכת סיכונים סדור המבוסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, מסייע לתאגיד להבטיח מתן גילוי נאות על סיכוני סייבר ואבטחת מידע כמו גם על גורמי סיכון אחרים הרלוונטיים לתאגיד.

• היערכות מוקדמת של התאגיד להתמודדות עם תקיפת סייבר, הכוללת הסדרה מראש של נהלים ותהליכי עבודה שיטתיים לטיפול ותגובה בנוגע לאירוע סייבר, וכן עיגון התהליכים הנדרשים לעניין גילוי ודיווח לציבור המשקיעים על התרחשות אירוע סייבר מהותי, יאפשרו לתאגידים לנהל ולהתמודד בצורה אפקטיבית יותר עם תקיפת סייבר בפועל ומתן הגילוי הנאות לציבור המשקיעים.

בהתאם לתובנות של ממצאי הביקורת, פרסמה רשות ניירות ערך עדכון לעמדתה המשפטית, כדלהלן:

(א) גילוי על מדיניות ניהול סיכוני סייבר ואבטחת מידע – אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילותו, על התאגיד, בין היתר, לפרט את אסטרטגיית ניהול הסיכונים בנושא ולציין אילו משאבים מוקצים על ידו לניהול סיכוני סייבר.

(ב) גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר – במסגרת מתן מידע על השכלתם ועיסוקם של הדירקטורים ונושאי המשרה ב-5 השנים האחרונות, נדרש לציין ולפרט אם לנושא המשרה יש ניסיון, מומחיות או מיומנות בנושא אבטחת מידע או סייבר. אם בחר התאגיד להשתמש בשירותי מיקור חוץ ובמומחים חיצוניים, עליו לפרט שימוש בסיוע כאמור כחלק ממדיניות ניהול הסיכון.

(ג) גילוי בדיווחים מיידיים – בקרות תקיפת סייבר תאגיד נדרש, בין היתר, לשקלל את מכלול הנזק ופוטנציאל הנזק שנגרם או עלול להיגרם כתוצאה מהתקיפה, הן במישרין והן בעקיפין, כאשר מהותיות האירוע צריכה להיבחן הן בהתאם לפרמטרים כמותיים והן בהתאם לפרמטרים איכותיים. הודגש כי מקום שקמה חובת דיווח מיידי לתאגיד, הרי שקיימת לו גם הזכות לעכב דיווח בהתאם לדין, בפרט כאשר הפרסום עלול למנוע השלמת פעולה של התאגיד. בהקשר זה, הוזכר כי זכות העיכוב פוקעת אם המידע בדבר האירוע פורסם ברבים.

(ד) גילוי על אירועים החורגים מעסקי התאגידים הרגילים – אם פורסם דוח מיידי על אירוע סייבר, יש לבחון האם התגלה מידע מהותי נוסף בנוגע לאירוע ולפרטו במסגרת הדוח התקופתי. מידע נוסף כאמור יכול שיכלול השפעות על המצב הפיננסי של התאגיד, שינוי במדיניות החברה בעקבות האירוע וכיוצא בזה.

2. עיקרי עדכון רשות ניירות ערך לעמדתה המשפטית בעניין אשראי בר דיווח:

(א) נוספו אירועים המחייבים דיווח מיידי אודות אירוע אשראי בר דיווח – הובהר כי בגדר האירועים הטעונים דיווח מיידי נכללים, בין היתר, גם דחייה או מימון מחדש של פירעון חלק מהותי מהלוואה מהותית; וכן פעולות שונות שנועדו למנוע הפרה של הסכם אשראי מהותי.

(ב) נוספה הגדרה למונח "הלוואה עם תניית הפרה צולבת" והנחיות לגילוי שנדרש בגינה:

• סגל הרשות קבע הנחיות גילוי להלוואה עם תניית הפרה צולבת מהותית ולהלוואה עם תניית הפרה צולבת שאינה מהותית. (Cross Default).

• סגל הרשות הבהיר כי היקפה הכספי של הלוואה עם תניית הפרה צולבת יחושב יחד עם שאר ההלוואות הכוללות תניית הפרה צולבת לעניין בחינת מהותיותה.

לעמדה המשפטית בעניין "גילוי בנושא סייבר" כפי שעודכנה ביום 25 בינואר 2023 >> לחצו כאן

לדוח ממצאי הביקורת שערכה רשות ניירות ערך בנושא >> לחצו כאן

לעמדת סגל הרשות המלאה בעניין "אשראי בר דיווח", כפי שעודכנה ביום 30 בינואר 2023 >> לחצו כאן

למשרדנו מומחיות רבה בליווי שוטף וייעוץ לתאגידים מדווחים ובפרט בקשר עם עריכת דוחות תקופתיים. נשמח לעמוד לרשותכם בכל סוגיה בתחומים אלו, וכן בכל שאלה או הבהרה.

מחלקת חברות וניירות ערך
הרצוג פוקס נאמן