ביום 16 בינואר 2023, נחקקו באירופה תקנות ה- Digital Operational Resilience Act (DORA), שמטרתן העיקרית היא לחזק את אבטחת מידע של גופים פיננסיים כמו בנקים, חברות ביטוח וחברות השקעות, ולוודא את איתנות המגזר הפיננסי באירופה והמשכיותו העסקית במקרה של אירוע חמור.

בין השאר, גופים הכפופים ל – DORA נדרשים לעדכן את תנאי ההתקשרות שלהם עם נותני שירותי תקשוב (ICT). לקראת כניסת תקנות אלו לתוקף ביום 17 בינואר 2025, גופים פיננסיים אירופאיים מעדכנים בהתאם את תנאי ההתקשרות שלהם, גם עם ספקים ישראליים.

בין היתר, מבחינות התקנות בין נותני שירותים קריטיים או חשובים של מערכות ICT לנותני שירותים שאינם כאלה; מטילות חובה על גופים פיננסיים הכפופים לרגולציה זו לבצע הערכת סיכונים לנותני שירותים אלו; ובהתאם לרמת חשיבות המערכת והערכת הסיכונים, לכלול בהסכמים עמם הוראות ספציפיות להתמודדות עם כך.

חלק מההוראות אותן נדרש הגוף הפיננסי לכלול (בהתאם לרמת הסיכון) הינן:

1. דרישת הודעה ודיווח במקרה של שינויים אצל נותן השירות שיכולים להיות בעלות השפעה מהותית על מתן השירות לגוף הפיננסי;
2. דרישה להטמעה של תכנית המשכיות עסקית, ובמקרים מסוימים, דרישה שהדבר יעוגן גם בהסכמים עם ספקי משנה;
3. זכויות ביקורת אצל נותן השירות, גם לגוף הפיננסי וגם לרשות המוסמכת;
4. זכויות לסיום ההסכם עם נותן השירות במקרים המנויים בתקנות;
5. דרישה לכך שנותן השירות יהיה בעל Legal Entity Identifier (LEI) עדכני, למעט חריגים מסוימים. אפשר להשיג מספר זה על-ידי רישום אצל אחד הספקים של שירות זה תמורת תשלום שנתי קטן.

בנוסף, הרשויות המוסמכות באירופה רשאיות להגדיר ולמנות נותני שירותים מסוימים כ"נותני שירותים קריטיים" באופן כללי, לרבות כאלו שאינם ממוקמים באירופה. אלו יהיו כפופים באופן ישיר לרגולציה, לרבות לפיקוח ישיר של המוסדות הרלוונטיים באירופה. על גופים שאין להם נציגות באירופה יהיה למנות ישות משפטית ייעודית בתחומי האיחוד האירופי בתוך 12 חודשים מהקביעה, שכן אחרת גופים פיננסיים אירופאים יהיו מנועים מהתקשרות עם אותם גופים.

כמו כן, גופים ישראלים שיש להם זרוע אירופאית שיכולה להיכנס להגדרת "גוף פיננסי" בתקנות (לרבות גופים המספקים מסגרות אשראי, למשל, גם במסגרת פרטית), עלולים למצוא עצמם כפופים באופן ישיר לרגולציה זו.

גם בישראל צפויים שינויים לאור עדכון רגולציה משמעותי של הפיקוח על הבנקים בכל הנוגע לסיכוני אבטחת המידע והסייבר. הפיקוח על הבנקים פרסם בחודש שעבר את הוראת ניהול בנקאי תקין מספר 364 "ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר". הוראה זו תחליף, עם כניסתה לתוקף ביום 18 במאי 2026, את ההוראות המרכזיות בנוגע לניהול סיכוני המידע – נב"ת מס' 357 (ניהול טכנולוגיית המידע), נב"ת מס' 361 (ניהול הגנת הסייבר) ואת נב"ת מס' 363 (ניהול סיכוני סייבר בשרשרת אספקה). על פי הפיקוח על הבנקים, מטרת ההוראה להתאים את המסגרת הרגולטורית הנוכחית לניהול סיכונים טכנולוגיים לסביבה הטכנולוגית המשתנה, לאיומים המשתנים ולרגולציה המקובלת בעולם.

מרבית הוראות נב"ת 364 רלוונטיות לתאגיד הבנקאי עצמו, אך חלקן עוסקות בכל צד ג' (או ספק) שיש לו גישה לנכסי מידע של התאגיד הבנקאי. בניגוד לחלק מהוראות הפיקוח על הבנקים בנוגע לספקים אשר להם השפעה על סיכוני הסייבר ואבטחת המידע של התאגיד הבנקאי, ואשר הוגבלו לעיתים ל"ספקים מהותיים" או "פעילות מהותית" או "מחשוב ענן מהותי", ההוראה תחול על כל נכסי המידע שמנהל ספק עבור התאגיד הבנקאי, ללא תלות במהותיות הספק או מהותיות הפעולה שמבצע עבור התאגיד הבנקאי.

מבין הוראות הנבת בנוגע לצד ג' לו גישה לנכסי המידע של התאגיד, ניתן למצוא הוראות העוסקות בעיגון הסדרים שונים במסגרת הסכם ההתקשרות עם צד ג', בדיקות והערכות שעל התאגיד הבנקאי לבצע לפני התקשרות עם צד ג', בחינה של יישום ועמידה בהסדרי אבטחת מידע אצל צד ג' ושיתוף פעולה של צד ג' עם התאגיד הבנקאי (למשל תרגול, המשכיות עסקית ותגובה משותפת לאירועים).

אנו עומדים לרשותכם לכל שאלה,

אייל שגיא, ליאור תלמוד, אור רוטר הפילוני וצוות מחלקת משפט וטכנולוגיה.

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.