האם הסמכת ISO 27001 אינה מגן?

התשובה היא כן - רק אם ההסמכה משולבת בשגרה תפעולית, ולא נשארת כנקודת הוכחה סטטית. מבקרים ורגולטורים בודקים כעת את טריותן וכשירותן של הראיות: יומני דירקטוריון עדכניים, רישומי סיכונים המותאמים לשינויים עסקיים אמיתיים, רישומי בקרה הממופים לאיומים הנוכחיים ויומני נוכחות לכל סקירה או הדרכה של הדירקטוריון.

סעיף 20 לחוק 2: הפיכת אחריות הדירקטוריון לחוסן סייבר

Q: כיצד על דירקטוריונים לתעד עמידה בסעיף 20, ואילו רישומים מצפים הרגולטורים והמבקרים?

דירקטוריונים חייבים לתחזק שרשרת ראיות מקושרת, עם חותמת זמן וחותמת זמן, המראה מעורבות פעילה בסיכוני אבטחת סייבר - חתימה על מדיניות רק פעם בשנה היא מיושנת. ביקורות וסקירות רגולטוריות מודרניות דורשות תיעוד חי העוקב אחר ההנהגה ברמת הדירקטוריון בכל צעד ושעל: - פרוטוקולי דירקטוריון וועדות: תיעוד מפורט ומוכן לביקורת של דיונים, אתגרים, אישורים ומעקבים בנושאי סייבר. - יומני שינויים ברישום סיכונים: יש לתעד כל החלטה של דירקטוריון בנוגע לניהול סיכונים או הפחתה, עם קישורים מפורשים להערכות סיכונים ובקרות מעודכנות. - רישומי סקירת הנהלה: נוכחות, יומני פעולות, ממצאים וסטטוס של אירועים ופעולות שיפור, עם פיקוח גלוי של הדירקטוריון. - יומני הדרכת דירקטורים: תאריכים, תוכן, ציונים וטריגרי חידוש עבור כל ההדרכות הספציפיות של הדירקטוריון (ושל המנהלים המרכזיים) בנושאי סייבר. - מעקב אחר אירועים ושיפורים: תיעוד שהלקחים שנלמדו נדונו באופן פעיל ונפתרו עם קלט הדירקטוריון. ISMS מודרני, כגון ISMS.online, מאפשר זאת על ידי קשירת כל בקרה, סקירה ופעולה ישירות ללוחות מחוונים של הדירקטוריון וחבילות ביקורת הניתנות לייצוא (ISMS.online: 9.3 סקירת ניהול). אם זה לא כתוב, מקושר ומסומן בזמן, זה לא קרה - רואי חשבון מצפים לכך כיום כראיה מינימלית.

Q: מהם העונשים והחבויות האישיות בגין הפרות של סעיף 20 ברמת הדירקטוריון?

תיקון NIS 2 מציג סיכון אישי אמיתי: דירקטורים ומנהלים בכירים אינם אחראים רק כחברה אלא כבני אדם. הסנקציות מחמירות מעבר לקנסות תאגידיים וכעת מגיעות לארנקים, למוניטין ולקריירה של אנשים: - קנסות על ישויות: ישויות חיוניות עומדות בפני עד 10 מיליון אירו או 2% מהמחזור העולמי, בעוד שישויות חשובות עשויות לחוות עונשים הולכים וגדלים במהירות. - פסילת דירקטורים: רגולטורים יכולים לאסור באופן זמני או קבוע אנשים מתפקידי דירקטוריון או הנהלה אם יומני דירקטוריון אינם מראים מנהיגות בניהול סיכונים או בהכשרה. - ביקורת ציבורית: ממצאים רגולטוריים עשויים שיתפרסמו, המקשרים ישירות בין החדלות לדירקטורים ששמם נקוב. נקודות הטריגר לסנקציות כוללות יומני סקירת הנהלה חסרים או לא מעודכנים, היעדר הכשרת דירקטורים, פרוטוקולים המדלגים על סקירות סיכונים או חולשות שרשרת אספקה שלא טופלו המובילות להפרות (ראה Mondaq: סיכוני דירקטוריון NIS2).

Q: כיצד ISO 27001, DORA ו-ISMS.online תומכים בתאימות הדירקטוריון לסעיף 20, הניתנת למעקב ובעלת מודעות למגזר?

תקן ISO 27001 מעגן את הממשל לפי סעיף 20, ומספק מערכת יחסים הדוקה לניהול מדיניות, ביקורת ואירועים - כל עוד אישור הדירקטוריון, סקירות ההנהלה, רישומי הסיכונים ויומני הראיות ממופים, מעודכנים וניתנים לייצוא. שכבות-על מגזריות כמו DORA (פיננסים), NERC CIP (שירותים) ו-GDPR/ISO 27701 (פרטיות) מעלות את הסטנדרטים לסקירות הנהלה ורישום פעולות ספציפיים למגזר; כולן דורשות שהדירקטוריון יהיה מעורב באופן גלוי ועקבי בפיקוח על מדיניות וסיכונים. פלטפורמה כמו ISMS.online מאחדת את הממשל על ידי: - רישום מיידי של כל אישורי הדירקטוריון וההנהלה. - אוטומציה של לוחות זמנים לסקירות הנהלה, מעקב אחר שיפורים וייצוא ראיות. - שמירה על ראיות רציפות של הכשרת דירקטורים, סקירות סיכונים ולמידה מאירועים. - מיפוי כל פעולה ל-ISO 27001, DORA או שכבות-על מגזריות לבדיקה רגולטורית מהירה. תאימות יעילה מגיעה משדרת ראיות חיה, לא מערבוב של PDF.

Q: כיצד יכולים דירקטוריונים לעמוד בדרישות משפטיות ספציפיות למגזר ולדרישות משפטיות משתנות, מבלי ליפול לעומס על ניהול ציות?

כדי לעמוד בקצב הציפיות המתפתחות - NIS 2, DORA, GDPR, שכבות מגזריות ולוחות מחוונים עתידיים כמו חוק הבינה המלאכותית של האיחוד האירופי - על דירקטוריונים להחליף את ניהול התאימות בניהול ראיות מונחה פלטפורמה, ממופה תפקידים ובזמן אמת. התחילו עם: - סקירות ראיות מתוזמנות של דירקטוריון/הנהלה: לוח שנה של מעבר חצייה חוזר של יומני סיכונים, פרוטוקולים, הדרכות ויומני אירועים. - ספריות תבניות ולוחות מחוונים: השתמשו בתבניות מדיניות, סיכונים ואירועים מוכנות מראש הממופות ל-ISO 27001, DORA, GDPR, HIPAA ואחרות. - זרימות אוטומטיות של התראות והסלמה: קבלו תזכורות לכל פעילות תפקיד נדרשת; חשפו באופן אוטומטי סקירות שבוצעו או מחזורי ניהול שלא הושלמו. - שכבות מגזריות ולוחות מחוונים של ביצועים: השוו באופן קבוע את המצב הנוכחי מול סטנדרטים מגזריים - ללא הפתעות בביקורת או בסקירת דירקטוריון. ISMS.online תומך בפריסה ועדכון מהירים של אלמנטים אלה, והופך את התנודתיות הרגולטורית לשגרה מובנית שאושרה על ידי הדירקטוריון (Diesec: שיטות עבודה מומלצות לתאימות NIS2).

Q: אילו פעולות יזומות של הדירקטוריון "מבטיחות חסינות ביקורת" של סעיף 20 ומייצרות אמון רגולטורי?

- ביקורות מוכנות לוועדה: הפעל הערכות בזמן אמת של יומני סקירות הדירקטוריון וההנהלה, רישומי אירועים וראיות הכשרה, בהתאם לסעיף 20 ו-ISO 27001. - אימוץ לוחות מחוונים בזמן אמת המקושרים לתפקידים: ציידו את הדירקטורים בתצוגות אחריות אישיות לאישורים, סיכונים, הכשרות ופעולות, עם ייצוא ראיות מיידי לביקורות. - פורמליזציה של לוחות זמנים של הכשרות וסימולציות אירועים בדירקטוריון: הפכו סקירות למידה ותרחישים של סייבר מוערכות לשגרה שנתית או רבעונית. - ריכוז ואוטומציה של תבניות מדיניות/אירועים: השתמשו בספריות התבניות הניתנות לעדכון לפי מגזר של ISMS.online כדי להבטיח שלכל התחייבות יש מנגנון ממופה. דירקטוריונים המאמצים מודל מונחה פלטפורמה לא רק עוברים ביקורות או שורדים פניות של הרגולטורים - הם קובעים את הרף לחוסן ולאמון. כאשר כל פיסת ראיה ניתנת לייצוא מיידי, ממופה תפקידים ומקושרת לתקנות מגזריות, אמון בחדרי המנהלים הופך לנכס בר-הוכחה.

סעיף 20 של הנחיית NIS 2 מציב את חברי הדירקטוריון ישירות באור הזרקורים בכל הנוגע לחוסן הסייבר. דירקטורים מתמודדים כעת עם סיכון אישי וחייבים להפגין מנהיגות מתמשכת ומתועדת בתחום אבטחת הסייבר - לא רק אישורים שנתיים. רגולטורים, חברות ביטוח ורואי חשבון מצפים לראיות חיות לכך שחדרי הדירקטוריון מבינים ומכוונים באופן פעיל את סיכוני הסייבר. עידן חדש זה דורש פעולה שקופה, ניתנת לביקורת והסבר מצד הצמרת.

מְחַבֵּר

מארק שרון

עודכן ב- 31 באוקטובר 2025

מדוע אחריות בחדרי ישיבות קובעת כעת את חוסן הסייבר

כאשר אבטחת סייבר עוברת מתיבת הדואר הנכנס של ה-IT לסדר היום של הדירקטוריון, הסיכונים שלה - והפוטנציאל שלה - משתנים באופן מהותי. סעיף 20 של הוראה 2 שקלים זהו קו פרשת מים: אבטחת סייבר אינה עוד רק פונקציה של מובילים טכניים או מנהלי תאימות. מושב הכוח והסיכון האמיתי עבר לשולחן הדירקטורים. באקלים של ימינו, מעורבות חדרי דירקטוריון בחוסן סייבר אינה אופציונלית, אינה דקורטיבית, ובוודאי שאינה נדחית. זהו עמוד תווך סטטוטורי, הנבדק לא רק על ידי רואי חשבון חיצוניים אלא גם על ידי רגולטורים, בעלי מניות, התקשורת, וכאשר מתרחש אירוע - גם הציבור הרחב.

חדר ישיבות פסיבי הוא נטל, לא מגן.

סביבה משפטית חדשה זו מטילה סיכון אישי על דירקטורים: קנסות, פסילה ואפילו איום בהעמדה לדין פלילי בגין מחדלים נובעים כעת ישירות ממועצת המנהלים. מסלול ביקורתמתחילים בך, לא בצוותים טכניים. אפילו לפני שמתגלה פגיעות, סקירת תאימות או בדיקת נאותות עשויות לסמן חברה כבעלת ממשל סטטי אם ברמת הדירקטוריון ניהול סיכונים משאיר פערים. עדשת הרגולציה נפתחת כעת עם פרוטוקולי ישיבות דירקטוריון ונסגרת בפיקוח מוכח על סיכונים חיים.

מקרה מתוקשר לאחרונה עורר גינוי פומבי של מועצת אנרגיה אירופאית משום שפרוטוקול שלה לא הראה דיון סייבר מהותי במשך חצי שנה. השפעות עסקיות ותפעוליות נובעות - לא מהפרה, אלא מגינוי הרגולטור על שתיקת חדר הישיבות.

עבור דירקטורים כיום, רף הראיות ברור ומיידי: מעורבות חיה באבטחת סייבר, המותאמת לדרישות סעיף 20, חייבת להיות מוכחת בקצב הנהגת הארגון - לא כמחשבה שלאחר אירוע.

מטקסט משפטי לאחריות ההנהלה: מה באמת המשמעות של סעיף 20 עבור דירקטוריונים

סעיף 20 כותב מחדש את ההימור של כל דירקטור. חתימה שנתית אינה מספיקה עוד. דירקטורים מוטלת עליהם חובה חוזרת וניתנת למעקב: להבין, להעריך ולנהל את סיכוני הסייבר בזמן אמת. כל החלטה, סקירה ותיקון כיוון משמעותיים חייבים להיות מתועדים באופן שתואם במדויק את החובות החוקיות.

מה שנכתב בפרוטוקול נבחן קודם כל במשבר.

חברות הביטוח, מצידן, מחמירות את החריגים בתחום הסייבר. פוליסות דירקטורים ונושאי משרה (D&O) דורשות כעת ראיות מוחשיות לניהול סיכוני סייבר ברמת הדירקטוריון, ולא תביעות לאחר מעשה. כאשר מתרחש אירוע, חוקרים, רגולטורים ואפילו עורכי דין יפתחו עם רישומי הנהלה ופרוטוקולים של ישיבות. "הרישום המתגלגל" מחליף את האישור הרטרואקטיבי.

זה מסמן שבירה ברורה מהתנהגותם של מבקרים בעבר, שבה ציות שנתי התקבל לעיתים כמספיק. כעת, ראיות מתגלגלות הן הסטנדרט: סקירות ניהול חוזרות, סימולציות אירועים, ספרי ריצה ויומני הסלמה מבוקשים באופן פעיל במהלך ביקורות (isms.online).

מוסד פיננסי גלובלי מצא את הדירקטורים שלו נדרשים לתת דין וחשבון על אירוע סייבר בשרשרת האספקה - לא בגלל כשל טכני, אלא משום שלא התקבל אישור מתועד של הדירקטוריון לסיכון צד שלישי במחזור הסקירה הקודם. השלכות רגולטוריות ותדמית באו מיד לאחר מכן. כוונת סעיף 20 היא חד משמעית: הדירקטורים שיודעים, פועלים ומתעדים את פעולותיהם באופן יזום קובעים את אמת המידה החדשה לחוסן.

מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.

הזמן את ההדגמה שלך

מלכודת הציות: מדוע מודלים מסורתיים מאכזבים דירקטוריונים

גישות מדור קודם בנוגע לציות לתקנות - אלו המקובעות על תגי הסמכה, תבניות מדיניות או ביקורות "גמורות" - חושפות דירקטוריונים באופן מסוכן תחת תנאי NIS 2. הציפייה הרגולטורית החדשה היא שהציות חייב להיות רציף, דינמי ומעוגן ברמת הדירקטוריון.

ציות שיושב על המדף צובר סיכון, לא אבק.

חדרי ישיבות שואלים בדרך כלל: "האם לא ISO 27001 הסמכה מגן?" התשובה היא כן - רק אם ההסמכה משולבת בשגרה תפעולית, ולא נותרת כנקודת הוכחה סטטית. מבקרים ורגולטורים בודקים כעת את טריותן וכשירותן של ראיות: יומני דירקטוריון עדכניים, רישומי סיכונים המותאמים לשינויים עסקיים אמיתיים, רישומי בקרה הממופים לאיומים הנוכחיים ויומני נוכחות לכל סקירה או הדרכה של דירקטוריון.

כשלים אחרונים מדגישים את הסיכון. עסק טכני אחד סבל מכך ISO 27001 הסמכה, אך נענש במסגרת NIS 2 מכיוון שסקירות הדירקטוריון שלה היו מתוכננות ולא מונעות סיכון. לא היה דפוס של מעורבות חיה ברמת הדירקטוריון שתועד בנתיב הראיות. כיום, עלות הציות הסטטית משולמת בכשלים בביקורת, קנסות, ובאופן ערמומי ביותר - אובדן אמון.

ויזואלי: המלכודות של תאימות סטטית

ניגוד בין ציפיות לתוצאה בעולם האמיתי תחת המשטר החדש:

תוֹחֶלֶת	תוצאה בפועל	ISO 27001 הפניה
אישור חד פעמי מספיק	חוסר בביקורת; ראיות כושלות	סעיף 9.3
תבניות תחליף לביקורות	ראיות שנדחתו על ידי רואי החשבון	נספח א.5.2
ניתן לבטל רישום של אימון	נכשל בביקורת הכשירות	א.6.3

עלות הציות לתקנות הסטטיות משולמת בכשלים בביקורת ובקנסות של הרגולטורים.

הפיכת החוק לפעולה: יישום סעיף 20 בעסקים היומיומיים

המהפכה של סעיף 20 טמונה בדרישתו למעורבות חיה וניתנת למעקב: מוכנות לביקורת חייבת להיות במצב מתמיד, כאשר הדירקטוריון מכוון ומתעד באופן פעיל את שגרות אבטחת הסייבר. כל אירוע סיכון - פרצה, תקרית, הכשרה שהוחמצה, חשש בשרשרת האספקה - חייב להיות ממופה, עקבי ומוכיח מההתחלה ועד לחדר הישיבות (isms.online).

ראיות תפעוליות אינן ניירת. הן מה שמוכיח שאתה מוכן לביקורת, לדירקטוריון ולרגולטור.

פלטפורמות מודרניות כמו ISMS.online הופכות את מחזורי הניהול הללו לאוטומטיים: כל פגישה, עדכון סיכונים, בדיקת בקרה או סימולציית אירוע נרשמים, עוקבים אחריהם וניתנים למעקב. אירועים חריגים מתפתחים באופן אוטומטי דרך רישום סיכוניםלמשוך את תשומת הלב של הדירקטוריון, וליצור סיפור בר הגנה עבור ביקורות ורגולטורים עוקבות (isms.online).

טבלת מיפוי סיכונים דינמית למעקב אחר החלטות דירקטוריון

הדק	עדכון סיכונים	קישור בקרה / SoA	ראיות שנרשמו
הודעת הפרה	העברה לסקירת מועצת המנהלים	ניהול תקריות A.5.25	פרוטוקול הדירקטוריון, יומן פעולות
פער בהכשרת הצוות	אימון מחדש, סקירת טריגר	A.6.3 מודעות	יומני אימון, תוצאות בוחן
ביקורת שרשרת האספקה	עדכון חוזה/בקרה	A.5.3, A.5.19	ספק רישום סיכונים

שורה אחת בחוברת עבודה של ביקורת כבר לא יכולה להספיק; שרשרת ההחלטות והעדכונים, המקושרים ישירות לראיות של ההנהגה, היא שמגדירה את הציות לתקן NIS 2.

לוח מחוונים פלטפורמה nis 2 חיתוך על mint

הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.

הזמן את ההדגמה שלך

חשיבה מחודשת על הכשרת דירקטוריון, מדדי ביצועים וכשירות: גישור על פער המיומנויות

סעיף 20 מחייב דירקטוריונים להיכנס לעידן שבו הוכחת כשירות היא תיעוד חי ומתפתח - ולא טופס הרשמה. יש להציג באופן קבוע הוכחות לגבי הבנתו של כל חבר את סיכוני הסייבר: תאריכים בהם השתתפו, נושאי מפגשים, תוצאות שנאספו והבנה שנבדקה באופן ביקורתי.

הוכחת ידע חשובה כעת לא פחות מהוכחת מעשים.

הכשרה מבוססת ראיות כוללת כעת תרגילים מבוססי תרחישים, סדנאות מבוססות ECSF וסקירות תוצאות. לדוגמה, יש לתעד עם המשתתפים "תרגיל סייבר" רבעוני של הדירקטוריון, את התרחיש בו מתמודדים, את התוצאות (כולל נקודות שיפור) ודיון תומך בדירקטוריון.

דוגמה לתקן ISO 27001/ECSF: פורמט רישום הכשרת מנהלים

רישום שניתן להגנה בדרך כלל מתעד:

תאריך/כותרת המושב: לדוגמה, "תגובה לטבלה לתוכנות כופר"
משתתפים: תפקידי דירקטוריון, בהתאם למרשם המנהיגות
תרחיש: פעילות מעשית, למשל, סימולציה של אירועי הפרת גישה של ספקים
תוֹצָאָה: עבר/נכשל, נקודות שיפור צוינו
עֵץ: הדיון תועד, מדדי ביצועי הביצועים של הדירקטוריון מופו

מועצות תשתיות בבריטניה נדרשו לחזור על מחזורי הכשרה שלמים כאשר ביקורות הצביעו על חוסר ראיות לתוצאות. תוצאות מוכחות, ולא רק נוכחות, קובעות כעת אמות מידה לחדרי הישיבות.

הערכות יכולות מרובדות

שיטות עבודה מומלצות עבור דירקטוריונים מודרניים משלבות למידה בכיתה עם תרחישים חיים, חידונים בזמן אמת וסקירות לאחר הפעולות. אמון הרגולציה והמשקיעים גדל כאשר תוצאות אלו מרוכזות וממופות למחזורי שיפור.

ISO 27001 כגשר: לשרוד ביקורת, להוכיח תאימות, לעקוף שינוי

תקן ISO 27001 נותר תקן הסייבר של אירופה - אך לפי סעיף 20, התקן חייב להפוך לגשר חי, ולא להישג מרופד. סעיפים 5.2 ו-9.3 קשורים זה בזה. חתימה של הדירקטוריון ישירות לסקירות חוזרות ושיפור ברור ומתועד. תהליך זה צפוי כעת להיות שגרתי, לא ביצועי (isms.online).

פלטפורמות ISMS אוטומטיות עזרו לדירקטוריונים להטמיע את השגרה הזו: אישורים, סקירות סיכונים, יומני אירועים, מסלולי הסלמה ורישומי ראיות, כולם מאוחדים בלוח מחוונים אחד. פערים נחשפים ומטופלים לפני, ולא במהלך, הביקורת (isms.online).

ISO 27001 – סעיף 20 גשר ביקורת

תוֹחֶלֶת	אופרציונליזציה	ISO 27001 / נספח א'
אישור הדירקטוריון על המדיניות	אישור מתועד ב-ISMS	סעיף 5.2 / A.5.1
סקירת סיכונים שוטפת	יומני סקירת הנהלה, פרוטוקולים	סעיף 9.3 / A.5.29
עדויות לשיפור	פעולות מתקנות, הסלמות	סעיף 10.1 / A.5.35

יש לשמור על ההסמכה על ידי חיים לפי הראיות - לא רק קבלת התג.

מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.

הזמן את ההדגמה שלך

עקיבות בחדרי ישיבות: כיצד למפות החלטות לסיכונים, בקרה ותקנות

עקיבות היא הנכס הריבוני החדש: כל החלטה חייבת להיות מקושרת לסיכון שלה, לשליטה שלה, לרגולציה שהיא מתייחסת אליה ולרשומה החיה שתופסת אותה (isms.online). עקיבות זו חייבת לעמוד בפני ביקורות, פניות של רגולטורים ואפילו בדיקה משפטית.

פלטפורמות כמו ISMS.online מספקות מעקב קפדני, חיבור החלטות, בקרות ו... אירועי סיכון למקור ראיות יחיד המתעדכן באופן שוטף. אישורים, חריגים ושינויים נרשמים במרשם חי - מה שמסיר עמימות, מבטל את האיום של פיזור ראיות ובונה אמון בין תחומי המשפט, הביקורת והמשקיעים.

שרשראות ראיות ברורות הן הביטוח שלך בסערת ביקורת.

טבלת עקיבות חיה לסקירה לאחר אירוע

יומן הגנה של אירוע לפעולה מתעד:

תאריך/שעת החלטה
אירוע/סיכון מעורר
פרוטוקול מועצת המנהלים (משתתף מקושר, תוצאה)
בקרה/מדיניות שהופניו
ראיות תומכות/יומן/KPI

כאשר שבילי החלטות, רישומי סיכונים ובקרות משתלבים יחד, ציות לתקנות מתגלה כנכס מרכזי ליצירת אמון בכל כיוון רגולטורי ופונה לשוק.

ניואנסים במגזר, חוק מקומי וחוסן מתמשך: עוקפים את השינוי הרגולטורי

סעיף 20 קובע את הרף, אך הוא אינו התקרה - ראיות בחדרי ישיבות צריכות לעתים קרובות לחרוג מהסטנדרטים המינימליים כדי לעמוד בכללי המגזר, החל מ-DORA בפיננסים, ועד HIPAA בתחום הבריאות, או שכבות ספציפיות לאנרגיה. דירקטוריונים חייבים ליצור הרמוניה בין רישומים, בקרות וראיות על פני כל הרקמות הללו, תוך הבטחה ששום דבר לא יאבד בתרגום.

חוסן הדירקטוריון גדל עם כל מחזור של סקירה, לא רק עם כל תג.

פערים מופיעים בקצב המהיר ביותר כאשר הכללים המקומיים משתנים באופן בלתי צפוי - לקח שנלמד על ידי מועצת תרופות גדולה בבריטניה, שבקרות הביקורת שלה לא עמדו בקצב הפערים הרגולטוריים לאחר הברקזיט. התיקון? לא רק טכני; הוא דרש קצב ברמת הדירקטוריון מעוגן במחזורי ביקורת מתמשכים ורענון ראיות.

שכבות משובצות מתכווצות לעייפות ביקורת

שכבות אוטומטיות, כפי שמוצעות דרך ISMS.online, מאפשרות כעת הפניה צולבת של בקרות ורישומים עבור מגזרים, תקנים וגיאוגרפיה - ובכך חושפות באופן פעיל פערים ראייתיים, מפחיתה כפילויות ידניות ומכיילות חדרי ישיבות עבור יעד תאימות נע (isms.online).

הפוך למנהיג סייבר בחדרי ישיבות עם ISMS.online

בעידן זה של הסלמה בסיכונים רגולטוריים ותדמיתיים, חדרי ישיבות המדגימים ממשל פעיל, אוטומטי ושגרתי יעקפו את אלו המסתמכים על תאימות לתקנות נייר או מעורבות ספוראדית. ISMS.online מאחד רישומי ביקורת, אישורים, מדיניות, יומני הדרכה, רישומי סיכונים ושכבות-על - המקשרות ישירות כל חוק, תקן ופעולה של הדירקטוריון.

כאשר אתם מאחדים ראיות ומאפשרים אוטומציה של קצב הציות שלכם, אתם הופכים את ההסמכה הסטטית של אתמול לנכס אמון חי של מחר. דירקטוריונים המובילים את קצב הציות לא רק יתמודדו עם... שינוי רגולטוריהם יבנו אמון הולך וגובר עם לקוחותיהם, משקיעים וגופי הרגולציה שלהם.

הגן על עתיד הארגון שלך על ידי הפיכת הממשל לבירת האמון שלך.

עמדו על מנהיגות בסייבר - כי חוסן, ולא תגובה, הוא כעת מבחן חדר הישיבות.

שאלות נפוצות

אילו אחריות ישירה מטיל סעיף 20 לחוק NIS 2 על דירקטוריונים, וכיצד הוא מעצב מחדש את האחריותיות של חדרי הדירקטוריונים?

סעיף 20 לחוק 2 של חוק ניהול סיכונים (NIS 2) מעביר את הפיקוח על אבטחת סייבר מ"בעיית IT" לצו של דירקטוריון, ודורש מדירקטורים ומנהלים ליטול אחריות מעשית ומוכחת על ניהול סיכונים. הדירקטוריון חייב כעת לא רק לאשר מדיניות אבטחה, אלא גם לנהל, לנטר ולהציג ראיות באופן פעיל - תוך הטמעת אבטחת סייבר בסקירות הנהלה שוטפות, רישומי ישיבות ויומני הכשרה של דירקטורים. זה יותר מאישור רשמי: כל חבר דירקטוריון חייב לעסוק בסיכוני סייבר, לעקוב אחר החלטות ולעבור רענון קבוע של כשירות.

דירקטוריון שמתייחס לסייבר כאל תיבת סימון של ציות חושף כעת את עצמו ואת החברה שלו לבדיקה ישירה - ולהשלכות אישיות של ממש.

מה ההבדל: דירקטוריונים אינם יכולים עוד להאציל אחריות למנהלי IT תפעוליים או משפטיים. סעיף 20 מציין במפורש את הדירקטוריון כבעלים הסופיים של אבטחת הסייבר, ודורש פרוטוקולים של סקירת הנהלה. מסלולי ביקורת, הוכחת השתתפות בהכשרה, ויד נראית לעין בקבלת החלטות בנוגע לשרשרת האספקה והסיכונים. סטייה או ניתוק מהפעילות עלולות כעת להוביל לסנקציות רגולטוריות, הגבלות קריירה וסיכוני מוניטין עבור דירקטורים בודדים - מה שהופך את אבטחת הסייבר לחמש דאגות ניהול מובילות, ולא רק מחשבה רבעונית.

תפקידי הדירקטוריון הייחודיים כוללים כעת:

אישור ישיר וסקירה מתוזמנת של מדיניות ניהול סיכוני סייבר.
מעורבות מחויבת ומתועדת בפרוטוקול בהחלטות מפתח בתחום הסייבר ושרשרת האספקה.
השתתפות מתמשכת בהכשרות סייבר רלוונטיות למגזר.
מעקב מתועד אחר פעולות ושיפורים מ ביקורות סיכונים ותקריות.

כיצד על דירקטוריונים לתעד עמידה בסעיף 20, ואילו רישומים מצפים הרגולטורים והמבקרים?

דירקטוריונים חייבים לתחזק שרשרת ראיות מקושרת, עם חותמת זמן, המראה מעורבות פעילה בסיכוני אבטחת סייבר - אישור מדיניות רק פעם בשנה הוא מיושן. ביקורות וסקירות רגולטוריות מודרניות דורשות תיעוד חי שעוקב אחר ההנהגה ברמת הדירקטוריון בכל שלב:

פרוטוקולים של הדירקטוריון והוועדות: תיעוד מפורט ומוכן לביקורת של דיונים, אתגרים, אישורים ומעקבים בנושאי סייבר.
יומני שינויים ברישום סיכונים: כל החלטה של דירקטוריון בנוגע לניהול או הפחתת סיכונים חייבת להיות מתועדת, עם קישורים מפורשים להערכות סיכונים ובקרות מעודכנות.
רישומי סקירת הנהלה: נוכחות, יומני פעולות, ממצאים וסטטוס של אירועים ופעולות שיפור, עם פיקוח גלוי של הדירקטוריון.
יומני הכשרה של מנהלים: תאריכים, תוכן, ציונים וטריגרי חידוש עבור כל ההדרכות הספציפיות לסייבר של הדירקטוריון (ושל מנהלים מרכזיים).
מעקב אחר אירועים ושיפורים: תיעוד ש לקחים נדונו ונפתרו באופן פעיל תוך שיתוף פעולה של הדירקטוריון.

ISMS מודרני, כגון ISMS.online, מאפשר זאת על ידי קשירת כל בקרה, סקירה ופעולה ישירות ללוחות מחוונים של הדירקטוריון וחבילות ביקורת הניתנות לייצוא (ISMS.online: 9.3 סקירת ניהול).

טבלת ראיות מוכנות לביקורת של הדירקטוריון

עדות	סעיף 20 מטרה	ISO 27001 / נספח א'
פרוטוקולים, רישומי סיכונים	פיקוח הדירקטוריון, סקירות הנהלה	5.2, 9.3, A.5.1, A.5.7
יומני הדרכת מנהלים	כשירות דירקטוריון, למידה מתמשכת	7.2, 7.3, A.6.3
הַשׁבָּחָה/יומני תקריות	מעקב מועצת המנהלים, פעולה אמיתית	5.26, A.8.16, A.8.29

אם זה לא כתוב, מקושר ומסומן בזמן, זה לא קרה - רואי חשבון מצפים לכך כיום כראיה מינימלית.

מהם העונשים והחבויות האישיות בגין הפרות של סעיף 20 ברמת הדירקטוריון?

2 שקלים חדשים מציגים סיכון אישי אמיתי: דירקטורים ומנהלים בכירים אינם אחראים רק כחברה אלא כבני אדם. הסנקציות מחמירות מעבר לקנסות תאגידיים וכעת מגיעות לארנקים, למוניטין ולקריירה של הפרט:

קנסות על ישויות: ישויות "חיוניות" עומדות בפני עד 10 מיליון אירו או 2% מהמחזור העולמי, בעוד שישויות "חשובות" עשויות לחוות קנסות הולכים וגדלים במהירות.
פסילת דירקטור: רגולטורים יכולים לאסור באופן זמני או קבוע אנשים מתפקידי דירקטוריון או ניהול אם יומני הדירקטוריון אינם מראים מנהיגות בניהול סיכונים או בהכשרה.
גינוי ציבורי: ממצאים רגולטוריים עשויים שיתפרסמו, ויקשרו ישירות את ההפרעות לדירקטורים ששמם נקבע.

נקודות הגורם לסנקציות כוללות יומני סקירה חסרים או לא מעודכנים, היעדר הכשרה לדירקטורים, פרוטוקולים המדלגים על סקירות סיכונים, או חולשות בשרשרת האספקה שלא טופלו וכתוצאה מכך הפרות (ראה Mondaq: סיכוני דירקטוריון NIS2).

כאשר פיקוח על סיכונים חסר בדקות הדירקטוריון לפני או אחרי תקרית, ביקורת רגולטורית אישית כמעט מובטחת.

מה חייבים הדירקטוריונים ליישם לצורך הכשרה מתמשכת, דיווח ופעילויות הסתמכות מעבר לפעילויות סטטיות של "תיבת סימון"?

סעיף 20 מצפה שניהול סיכוני סייבר יהיה חלק ממערכת ניהול תפעולי, ולא אירוע תאימות שנתי. משמעות הדבר היא:

הכשרה שנתית/דו-שנתית בסייבר: לא רק "נוכחות", אלא למידה מוערכת וספציפית לתפקיד, שנרשמת לפי מנהל.
תדרוכים שגרתיים על סיכונים ואירועים: הדירקטוריון מקבל ודן בסיכונים וב דוח מקרהמתועד כל רבעון, או בתדירות גבוהה יותר.
סימולציות מעשיות של אירועים: תרגילי עבודה, כולל תרחישי כופר או פריצות של צד שלישי, תוך איסוף לקחים מהתהליכים ומהמנהיגות בפרוטוקולים.
יומני שיפור מתמיד: כל פעילות ניהול סיכונים, עדכון מדיניות או מחזור "הפקת לקחים" נבדקים על ידי הדירקטוריון, ופעולות שיפור עוברות מעקב עד לסגירה.

רואי חשבון יבחנו לא רק את "המעקב הניירת" אלא גם את הרלוונטיות והעדכניות של פעילות הדירקטוריון - לא רק אם עשיתם זאת, אלא האם עשיתם זאת מספיק טוב כדי לבלום את האיום של מחר (ראו RGPD.com: סעיף 20, ממשל תאגידי).

כיצד ISO 27001, DORA ו-ISMS.online תומכים בתאימות הדירקטוריון לסעיף 20, הניתנת למעקב ובעלת מודעות למגזר?

תקן ISO 27001 מעגן את הממשל לפי סעיף 20, ומספק עמוד שדרה הדוק של מדיניות, ביקורת וניהול אירועים - כל עוד אישור הדירקטוריון, סקירות ההנהלה, רישומי הסיכונים ויומני הראיות ממופים, מעודכנים וניתנים לייצוא. שכבות מגזריות כמו DORA (פיננסים), NERC CIP (תשתיות), ו- GDPRתקן ISO 27701 (פרטיות) מעלה את הסטנדרטים עבור סקירות הנהלה ספציפיות למגזר ורישום פעולות; כולם דורשים שהדירקטוריון יהיה מעורב באופן גלוי ועקבי בפיקוח על מדיניות וסיכונים.

פלטפורמה כמו ISMS.online מאחדת את הממשל על ידי:

רישום מיידי של כל אישורי הדירקטוריון וההנהלה.
אוטומציה של לוחות זמנים של סקירות ניהוליות, מעקב אחר שיפורים וייצוא ראיות.
שמירה על ראיות מתמשכות על הכשרת מנהלים, סקירות סיכונים ולמידה מאירועים.
מיפוי כל פעולה לתקן ISO 27001, DORA, או שכבות מגזריות לבדיקה רגולטורית מהירה.

טבלת תאימות מועצת המנהלים לתקן ISO 27001–2 שקלים חדשים

סעיף 20 חובה	ISMS.online / מנגנון ISO 27001	סעיף/נספח א' הפניה
אישור ופיקוח של הדירקטוריון	בקרת מדיניות מבוססת לוח מחוונים, אישורים	5.2, 5.4, A.5.1
סקירת הנהלה ושיפור	ביקורות מתוזמנות, יומני שיפור	9.3, A.5.29
פעולות באירוע ומעקב אחר לקחים	רישומי אירועים, פרוטוקולי ישיבות	5.25, A.8.16, A.8.29

תאימות יעילה נובעת מ"עמוד שדרה של ראיות חיות", ולא משילוב של קבצי PDF.

כיצד יכולים דירקטוריונים לעמוד בדרישות משפטיות ספציפיות למגזר ולדרישות משפטיות משתנות, מבלי ליפול לעומס על ניהול ציות?

כדי לעמוד בקצב הציפיות המתפתחות - 2 שקלים חדשים, DORA, GDPR, שכבות מגזריות ועתידיות כמו חוק AI של האיחוד האירופי-דירקטוריונים חייבים להחליף את "מנהל הציות" ב ניהול ראיות מונחה פלטפורמה, ממופה תפקידים ובזמן אמתהתחל עם:

סקירות ראיות מתוזמנות של הדירקטוריון/הנהלה: מעברי חצייה חוזרים בלוח שנה של סיכונים, דקות, אימונים ו... יומן אירועיםs.
ספריות תבניות ולוחות מחוונים: השתמש בתבניות מדיניות, סיכונים ואירועים מוכנות מראש ומותאמות למגזר, הממופות ל-ISO 27001, DORA, GDPR, HIPAA ואחרות.
זרימות אוטומטיות של התראות והסלמה: קבל תזכורות לכל פעילות נדרשת בתפקיד; נחשף באופן אוטומטי סקירות שלא הושלמו או מחזורי ניהול שלא הושלמו.
שכבות על מגזרים ולוחות מחוונים של ביצועי ביצועים: השווה כל הזמן את המצב הנוכחי מול סטנדרטים בענף - אין הפתעות בביקורת או בסקירת הדירקטוריון.

ISMS.online תומך בפריסה ועדכון מהירים של אלמנטים אלה, והופך את התנודתיות הרגולטורית לשגרה מובנית שאושרה על ידי הדירקטוריון (Diesec: נהלים מומלצים לתאימות NIS2).

כל עדכון רגולטורי הוא הזדמנות טעונה מראש לחזק את החוסן ברמת הדירקטוריון ואת אמון השוק.

אילו פעולות יזומות של הדירקטוריון "מבטיחות חסינות ביקורת" של סעיף 20 ומייצרות אמון רגולטורי?

ביקורות מוכנות של הנציבות: הפעל הערכות בזמן אמת של יומני סקירות הדירקטוריון וההנהלה, רישומי האירועים וראיות ההדרכה שלך, בהתאם לסעיף 20 ו-ISO 27001.
אימוץ לוחות מחוונים בזמן אמת המקושרים לתפקידים: ציידו את הדירקטורים בתצוגות פרופילי אחריות אישיות עבור אישורים, סיכונים, הדרכות ופעולות, עם ייצוא מיידי של ראיות לצורך ביקורות.
רשמיזציה של לוחות זמנים להכשרת הדירקטוריון ולסימולציית אירועים: הפכו למידה בסייבר מוערכת וסקירות תרחישים לשגרה שנתית או רבעונית.
ריכוז ואוטומציה של תבניות מדיניות/אירועים: השתמשו בספריות התבניות הניתנות לעדכון לפי מגזר של ISMS.online כדי להבטיח שלכל התחייבות יש מנגנון ממופה.

דירקטוריונים המאמצים מודל מבוסס פלטפורמה לא רק עוברים ביקורות או שורדים בירורים של הרגולטורים - הם קובעים את הרף לחוסן ולאמון. כאשר כל פיסת ראיה ניתנת לייצוא באופן מיידי, ממופה תפקידים ומקושרת לתקנות המגזר, אמון בחדרי המנהלים הופך לנכס שניתן להדגים.