ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר בתאגידים בנקאיים – מזכר לקוחות – פברואר 2025

ביום 18 בנובמבר 2024 פורסמה על ידי הפיקוח על הבנקים ("הפיקוח") הוראת ניהול בנקאי תקין מס' 364 שכותרתה "ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר". ההוראה נועדה לספק מסגרת כוללת, אחידה, סדורה וגמישה לניהול הסיכונים הטכנולוגיים לאור התפתחות האיומים והסיכונים העדכניים. בהתאם לגישת הפיקוח על הבנקים העדכנית, ההוראה מאזנת בין שני היבטים: מחד, היא מאפשרת לכל תאגיד בנקאי לנהל את סיכוניו בהתאם לאסטרטגיה ותיאבון הסיכון שיבחר לעצמו; ומאידך, היא מקבעת ומחדדת את החשיבות שיש לייחס לניהול סיכונים אלה בחיי התאגיד הבנקאי. במסגרת זו, ההוראה מקבעת באופן רחב אחריות ישירה לדירקטוריון למעורבות אקטיבית בהתוויית אסטרטגית ניהול הסיכון, לרבות בחינת המשאבים המוקצים ליישומה וחובות לפיקוח אקטיבי על אופן ביצועה וניהולה. בנוסף, ההוראה קובעת דרישה קוגנטית לקיומם של בעלי תפקיד ייעודיים שונים והגדרה ברורה של היקף אחריותם. ההוראה מחליפה שלוש הוראות קיימות: נב"ת 357 בנושא ניהול טכנולוגיית המידע, נב"ת 361 בנושא ניהול הגנת הסייבר ונב"ת 363 בנושא ניהול סיכוני סייבר בשרשרת אספקה. מדובר בהסדר משמעותי החל ישירות על תאגידים בנקאיים, אך לא פחות מכך – מעניין כל גוף המעוניין לעבוד עם תאגידים בנקאיים.

ההוראה מצריכה לדעתנו, עבודת מטה נרחבת לשם יישומה ודורשת הליכי טרנספורמציה יסודיים הנוגעים לתאגיד הבנקאי בכל רמות הניהול שלו כמו גם, באופן יישום התקשרויותיו עם ספקיו ונותני השירות שלו. כן דורשת ההוראה לטעמנו, ליווי מקצועי והדוק המשלב הבנה משפטית נרחבת בעולמות הפרטיות, הסייבר, טכנולוגית המידע, מערכות ההפעלה והרגולציה הבנקאית. הדברים האמורים לעיל נכונים לתאגידים בנקאיים, אך לא פחות מכך – לכל ארגון שיהיה מעוניין לעבוד עם תאגידים בנקאיים. נשמח לסייע לכם בבחינת השלכות ההוראה על פעילות הארגון שלכם ולסייע לארגונכם לעמוד בה.

במזכר לקוחות זה, נפרט את עיקרי ההוראה.

בברכה,

אגמון עם טולצ'ינסקי