בשנים האחרונות, הסיכונים הנובעים מאיומי סייבר הפכו לדאגה משמעותית עבור חברות במגוון תעשיות בישראל. מספר רב של חברות חוו מתקפות סייבר שגרמו להשבתת פעילותן, לנזקים כספיים ישירים ולפגיעה במוניטין ארוכת טווח.
הערכה וחשיפה של סיכוני סייבר וכן חשיפת מתקפות סייבר שחוו חברות והטיפול בהן הפכו למשמעותיים יותר עבור משקיעים לצורך הערכת כדאיות ההשקעות בניירות ערך של חברות והבנת רמת סיכון וחשיפה למתקפות סייבר.
באוקטובר 2018 פרסמה מחלקת התאגידים ברשות ניירות ערך עמדה משפטית מס. 33-105 לגבי גילוי דעת בנושא סייבר, על מנת להעלות את המודעות בקרב תאגידים מדווחים לסיכוני סייבר ולהדגיש היבטים מסוימים של גילוי העשויים להידרש על פי דיני ניירות ערך.
היום, 25.01.2023, הרשות עדכנה את עמדתה ובנוסף פרסמה דוח ריכוז ממצאי ביקורת רוחב בנושא סיכוני סייבר בתאגיד מדווח.
ממצאי הביקורת הראו כי קיימת חשיבות רבה למעורבות הדירקטוריון בפיקוח על ניהול סיכוני סייבר. יתר על כן, יש ערך להעריך סיכוני סייבר ולהקים מערכת ניהול סיכונים בהתאם לכלים ומתודולוגיה מקובלים. בנוסף, חשוב לחשוף מידע על סיכוני סייבר והתקפות בזמן וביעילות. לבסוף, הכנה מוקדמת וגילוי התקפות חיוניים על מנת להתמודד איתן ביעילות.
העדכון לעמדה המשפטית של הרשות לניירות ערך כוללת הבהרות והדגשות על התפקיד וכן כמה תובנות שנלקחו מהתנסויות האחרונות. עמדה זו פורסמה לאור הסיכונים הייחודיים הכרוכים בהתקפות סייבר, כגון: פוטנציאל הנזק בקנה מידה גדול, העובדה שמערכות והגנות עדיין בפיתוח והקושי בזיהוי ומעקב אחר תוקפים.
תכלית גילוי הדעת להעלות את המודעות לסיכונים אלו בקרב תאגידים ולהדגיש היבטים מסוימים של גילוי העשויים להידרש על פי דיני ניירות ערך. עמדה זו אינה יוצרת חובות גילוי חדשות, אלא רק מדגישה את אלו הקיימות. לדוגמה, תאגידים אינם נדרשים לתאר סיכוני סייבר כלליים ביחס לעסק שלהם, אך עליהם לספק גילוי בהתאם לפרקטיקות מקובלות אחרות.
