רגולציית אבטחת המידע והחוסן האופרטיבי בסקטור הפיננסי באירופה DORA – Digital Operational Resilience Act, נכנסה לתוקף ביום שישי האחרון, ה – 17 בינואר 2025.

רקע

כפי שפרסם משרדנו כבר ביום 12 בדצמבר 2024, גופים הכפופים ל – DORA (בנקים וחברות ביטוח, אך גם קרנות הון סיכון וגופי אשראי פרטיים, הפועלים באירופה) נדרשים, במסגרת ההיערכות לכניסתה לתוקף של הרגולציה, לעדכן את תנאי ההתקשרות שלהם עם נותני שירותי תקשוב (ICT) מקומיים וזרים (לרבות ישראליים).

ממבט ראשון נדמה כי מרבית ההוראות אותן נדרש הגוף הפיננסי לכלול בהסכמים עם נותני השירות שלו אינם חדשים, מוכרים, ואף מהווים חלק בלתי נפרד מהסכמים קיימים כבר היום עם ספקי שירותים אלו.

עם זאת, בחינה מדוקדקת יותר של הרגולציה עצמה (התקנות) והכללים והסטנדרטים שאושרו עד כה בנושא (לרבות אלה שעתידים להיות מאושרים בקרוב), מעלה כמה סוגיות מעניינות שלדעתנו יכולות להיות משמעותיות מאוד לנותני שירותים לגופים פיננסיים באירופה.

תשלום עבור שיתוף פעולה בעת "אירוע תקשובי"

הסוגייה הראשונה היא סוגיית התשלום עבור שיתוף פעולה של נותן השירות עם הגוף הפיננסי במקרה של "אירוע תקשובי" (“ICT incident”). הרגולציה קובעת כי ככל שהצדדים (המוסד הפיננסי ונותן השירות) מעוניינים ששיתוף פעולה במקרה של אירוע כאמור יהיה כרוך בתשלום של המוסד הפיננסי לנותן השירות, תשלום זה צריך להיקבע מראש במסגרת ההסכם, אחרת, שיתוף הפעולה ייעשה ללא תשלום נוסף.

המשמעות העיקרית של הוראה זו היא שנכון להיום, נותני שירותי תקשוב שיש להם הסכמים עם גופים פיננסיים אירופאים אשר לא כלול בהם סכום מוסכם לתשלום עבור שיתוף פעולה זה, מסתכנים באבדן של סכומים משמעותיים במקרה של אירוע תקשובי (אשר לפי ההגדרה, הוא רחב יותר מהגדרה של אירוע אבטחה לפי ה – GDPR וגם לפי הדין הישראלי, וכולל כמעט כל אירוע הקשור למערכות התקשוב של הגוף הפיננסי). נותני שירותים אלו יידרשו לקיים בדיקות, לספק מידע ולקיים פעולות תיקון ללא תשלום נוסף מעבר לתמורה הכללית המוסכמת.

נציין כי נכון להיום לא ברור אם קיומו של נספח שירותים בהסכם הכולל סכומים קבועים של שירותים אותם מציע נותן השירות לגוף הפיננסי כבדרך שגרה, יכול לענות (גם אם באופן חלקי) על דרישת הרגולציה, וכי לא מן הנמנע שניתן יהיה לקבוע שאכן סכומים אלו הם סכומים שנקבעו גם עבור "מקרים מיוחדים" (כגון: אירוע תקשובי). עם זאת, אנו ממליצים לנותני שירות שרוצים לוודא כי הגוף הפיננסי אכן יהיה מחויב לשלם עבור שיתוף פעולה במקרה של אירוע, לתקן את ההסכמים עם הלקוחות הרלוונטיים (בין אם על ידי תיקון הסכמים קיימים ובין אם על ידי תיקון הנוסחים בעת חידוש חוזה), וכן לשקול להטמיע בהסכמים עתידיים הוראות דומות בנושא.

זכויות ניטור וביקורת רחבות

כפי שפרסמנו בעדכון הלקוחות מיום 12 בדצמבר 2024, הרגולציה מבחינה בין נותני שירותים קריטיים או חשובים של מערכות ICT לנותני שירותים שאינם כאלה. ההחלטה האם נותן שירות מוגדר "קריטי/חשוב" או לא נתונה להחלטתו של הגוף הפיננסי.

עבור נותני שירותים קריטיים/חשובים, קובעת הרגולציה הוראות מחמירות בנושא קיומן של זכויות ניטור וביקורת. הוראות אלו כוללת, בין היתר: זכויות לא מוגבלות לניטור באופן שוטף; דרישה לשיתוף פעולה מלא במסגרת ניטור וביקורת כאמור (לרבות ביקורת במשרדי הספק); וזכות להעתקת מסמכים רלוונטיים במסגרת הביקורת הפיזית. כמו כן, ישנן הוראות לעניין הדרישה לקבוע בהסכם מהו המנגנון המוסכם במקרה שבעקבות מימוש זכויות אלו ייפגעו זכויות אחרות (למשל, הפרה של פרטיות של צדדים שלישיים).

כפי שניתן לראות לעיל, זכויות אלו רחבות לאין שיעור מזכויות הניטור והביקורת המקובלות הניתנות היום ללקוחות של נותני שירות. המשמעות העיקרית היא אי היכולת של ספקים נותני שירות להגביל את זכויות הגופים הפיננסיים באירופה לנטר את פעילות הספק, ולהסתפק בהצגת אישורי עמידה בתקנים בינלאומיים בלבד.

לא מן הנמנע כי סעיף זה יפורש בעתיד בצמצום יותר, וכי לצדדים יישאר מרחב תמרון גדול יותר לקביעת ההסדרים ביניהם בעניין קיומם של ביקורות והיכולת לנטר את הפעילות הספק באופן שוטף. עם זאת, נותני שירותי תקשוב צריכים להיערך לעדכון הסכמי השירותים שלהם עם גופים פיננסיים אירופאים גם בנושא זה. כמו כן, על נותני השירות מומלץ להיערך פנימית בחברה להתמודדות עם מימוש זכויות אלו, בין אם על ידי עדכון נהלים פנימיים ובין אם על ידי מינוי צוותים ייעודיים לניהול תהליכים אלו (אשר ייתכן ועד היום נעשו באופן נקודתי על ידי מנהל אבטחת המידע של הארגון בלבד).

הטמעת תכנית המשכיות עסקית, גם אצל ספקי המשנה

כחלק מדרישות הרגולציה עבור התקשרויות עם ספקים המוגדרים "קריטיים/חשובים", על הגוף הפיננסי יהיה לוודא כי הספק מטמיע אצלו תוכניות להמשכיות עסקית. דרישה זו אינה זרה לספקים נותני שירותים לגופים פיננסיים, גם בישראל, שכן במסגרת הוראות סקטוריאליות החלות על גופים פיננסיים מסוימים בישראל, קיימות הוראות גם בעניין האחריות של נותן השירות לבנות תכנית המשכיות עסקית במסגרת התקשרות של הגוף הפיננסי עמו.

עם זאת, הרגולציה באה ומוסיפה על כך, וקובעת כי במקרה של התקשרות של נותן השירות עם ספק משנה, על נותן השירות יהיה לדרוש בהסכם עם ספק המשנה התחייבויות לקיים תכנית המשכיות עסקית גם כן. אמנם, דרישה זו היא חלק מסט כללים שעדיין לא אושר באופן סופי, אך ככל שיאושר (ואיננו רואים מניעה לאישורו בזמן הקרוב בנוסחו הנוכחי), הוראה זו עלולה תהיה לדרוש מנותני השירות לבחון מחדש את ספקי המשנה עמם הם עומדים ואף לפתוח מחדש את ההסכמים עמם במקרים מסוימים.

לסיכום

רגולציית DORA היא רגולציה משמעותית בסקטור הפיננסי באירופה, אשר תשפיע באופן ניכר על התנהלות גופים פיננסיים ונותני שירותי תקשוב באירופה, גם על גופים אשר אינם כפופים לה באופן ישיר. מכיוון שמדובר ברגולציה (Regulation), בהבדל מדירקטיבה, הוראותיה אינן דורשות הטמעה מקומית בכל מדינה, והן חלות באופן אוטומטי, החל מיום כניסתה לתוקף, על כלל הגופים הכפופים לה.

אנו ממליצים לגופים המעריכים כי לרגולציה זו תהיה השפעה על פעילותם (בין אם באופן ישיר ובין אם על ידי מתן שירות לגופים אשר כפופים באופן ישיר לה), לקיים הערכת סיכונים פנימית בארגון ולהתניע תהליך לצמצום חשיפות בעקבות כניסתה לתוקף של הרגולציה. נשמח לסייע ולייעץ לארגונים המעוניינים בכך.

אנו עומדים לרשותכם לכל שאלה,

אייל שגיא, אור רוטר הפילוני וצוות מחלקת משפט וטכנולוגיה

האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.