הנחיה חדשה מטילה אחריות ישירה על הדירקטוריון
באבטחת מידע, עם קנסות כבדים להפרות
בעולם העסקי של ימינו, איומי סייבר והגנה על
פרטיות הפכו לנושאים קריטיים בניהול סיכונים ארגוני.
לאחרונה, הרשות להגנת הפרטיות בישראל פרסמה
הנחיה מחייבת המטילה אחריות ישירה על
הדירקטוריון בנושאי אבטחת מידע ופרטיות.
הנחיה זו, שנכנסה לתוקף ב-12 בספטמבר 2024,
מסמנת שינוי משמעותי בתפקיד הדירקטוריון ומעלה
שאלות חשובות לגבי אחריות,
מומחיות וניהול סיכונים בארגונים.
ההנחיה החדשה קובעת כי על הדירקטוריון לפקח על
ציות החברה לחוקי הגנת הפרטיות ואבטחת מידע,
ולוודא גיבוש, אימוץ ויישום של מדיניות בתחומים אלה.
היא חלה בעיקר על חברות שעיבוד מידע אישי מצוי
בליבת פעילותן או שפעילותן מייצרת סיכון מוגבר
לפרטיות. זה כולל, בין היתר, חברות סלולר, בנקים,
חברות ביטוח, חברות פארמה וארגוני בריאות.
המשמעות המעשית של הנחיה זו היא שדירקטורים
נדרשים כעת להיות מעורבים באופן אקטיבי בנושאים
שעד כה נחשבו לתחום אחריותם של מומחי טכנולוגיה
ואבטחת מידע.
הדירקטוריון נדרש לדון במסמכי מדיניות אבטחת
מידע, לבחון תוצאות של סקרי סיכונים ומבדקי
חדירות, ולקיים דיונים תקופתיים על אירועי
אבטחת מידע בארגון.
יתרה מזאת, הדירקטוריון נדרש לקיים לפחות דיון
שנתי בנושאי אבטחת מידע ולקבל דיווחים שוטפים
על אירועי אבטחה משמעותיים.
ההשלכות של אי-עמידה בדרישות אלו עלולות להיות
משמעותיות.חברות שיפרו את ההנחיה עלולות להיות
חשופות לקנסות של עד 320,000 ש"ח על כל הפרה.
יתרה מזאת, הדירקטורים עצמם עלולים להיות חשופים
לתביעות נגזרות מצד בעלי מניות.
במקרה של אירוע אבטחה חמור, הדירקטורים עלולים
למצוא את עצמם נדרשים להסביר מדוע לא
נקטו באמצעי זהירות מספקים.
עם זאת, ההנחיה החדשה מעוררת גם ביקורת בקרב
מומחים בתחום. יש הטוענים כי היא עלולה לסרבל
את תהליכי קבלת ההחלטות בחברות ולהעלות את
העלויות עקב הצורך בייעוץ מקצועי נוסף.
בנוסף, עולה השאלה האם לדירקטורים, שרובם אינם
מומחי סייבר או אבטחת מידע, יש את הידע הנדרש
כדי לקבל החלטות מושכלות בתחומים אלה. אלה
מזהירים כי זה יכול לגרום לדירקטוריון להפוך להיות
חותמת גומי, או שזה יכול לגרום לכך שהדירקטוריון
ייכנס ללחץ ויסבך את העבודה של הארגון.
מנגד, תומכי ההנחיה טוענים כי היא הכרחית בעידן
שבו איומי סייבר הופכים למורכבים ומסוכנים יותר.
הם מדגישים כי אחריות הדירקטוריון היא לא להיות
מומחי סייבר, אלא להבטיח שהחברה מקצה
משאבים מתאימים ומיישמת מדיניות נאותה בתחום.
כמשרד עורכי דין המתמחה בליווי חברות
וסטארטאפים, אנו רואים בהנחיה זו הזדמנות לחברות
לחזק את ההגנה על המידע והפרטיות שלהן.
אנו ממליצים לחברות לבצע הערכת סיכונים מקיפה,
לגבש מדיניות ארגונית ברורה, ולשקול הכשרת
דירקטורים בנושאי סייבר ואבטחת מידע.
חשוב גם לבחון את פוליסות ביטוח הדירקטורים
ונושאי המשרה ולוודא שהן מכסות תביעות
הקשורות לאירועי סייבר.
אהבתם ? שתפו את הדיוור עם הקהילה שלכם.
אתם חברי דירקטוריון המתמודדים עם האחריות
החדשה בתחום אבטחת המידע ?
מנהלים חברה ומחפשים דרכים להתאים את מדיניות
אבטחת המידע לדרישות החדשות ?
חוששים מהחשיפה המשפטית החדשה של
הדירקטוריון בנושאי סייבר ופרטיות ?
מעוניינים לשפר את יכולות הפיקוח של הדירקטוריון
על נושאי אבטחת מידע ?
רוצים ללמוד עוד על ההיבטים המשפטיים של אחריות
הדירקטוריון בעידן הסייבר ?
יש לכם שאלות, הערות, הארות, תובנות ותגובות ?
נשמח מאד לקרוא ולשמוע.
פנו אלינו עכשיו
אפשר בתגובה לדיוור זה
אפשר בוואצאפ ואפשר גם להתקשר – 0528328676
נשמח מאד לייעץ ולעמוד לרשותכם.
אנחנו מבטיחים לענות ולחזור לכולם.
בתקווה ותפילה לימים טובים ושקטים יותר
ולבשורות טובות.
שלכם,
שרית ואילן צדק
