מדוע אחריות של חברי דירקטוריון לפי סעיף 20 היא כעת סיכון אישי, ולא קולקטיבי?
עבור דירקטורים אירופאים, סעיף 20 של הוראה 2 שקלים מסמן שינוי היסטורי: עידן "הדירקטוריון" כקולקטיב חסר פנים הסתיים. כיום, חשיפה רגולטורית ומשפטית לליקויים בתחום אבטחת הסייבר מגיעה לכל אדם סביב השולחן. לא עוד התחבאות בקהל. שמו, חתימתו ויומן הפעולות של כל דירקטור מהווים כעת את ההגנה המינימלית מפני קנסות, השעיה או סנקציות ציבוריות.
המניעים מאחורי שינוי זה מוצקים: סיכון קולקטיבי לא הצליח להניע מעורבות משמעותית בסייבר כאשר האחריותיות הייתה מפושטת. אירועי סייבר חשפו באופן שגרתי עד כמה קל היה לדירקטורים פסיביים להתחמק מאחריות - לעתים קרובות לרעת הלקוחות, הצוות והכלכלה הרחבה יותר. על ידי הפיכת האחריות לאישית, החוק מיישר תמריצים: דירקטורים חייבים כעת להיות חרוצים באותה מידה באבטחה כפי שהם חרוצים במימון תאגידי או בביקורת.
דירקטורים לומדים: ציות לחוקים אינו עוד צל מאחורי החברה - זהו זרקור על הפרט.
הרגולטורים ברורים לחלוטין: כל מדינה חברה חייבת להבטיח שהדירקטורים יפקחו באופן אישי ו"יאשרו, יפקחו וינהלו" את כל הפעילויות והאסטרטגיות של אבטחת סייבר. בורות אינה תירוץ לשום דבר. פרוטוקול הדירקטוריון, יומני הדרכה דיגיטליים, הסלמת אירועים, אפילו דעות שונות - כל מנהל חייב לתעד את אלה. מה שבעבר היה בצל ועדות נחשף כעת עבור בדיקה רגולטורית.
מוניטין מקצועי וביטוח חלוקה לשוק העבודה תלויים יותר ויותר באחריותיות חדשה זו. כאשר דירקטוריונים ומבטחים כאחד מהדקים את ההגנה סביב ראיות ברורות ובלתי ניתנות לשינוי של מעורבות, דירקטורים ניצבים בפני שאלה קשה: האם אתם יכולים להוכיח את מעורבותכם המתמשכת, או שאתם נחשפים עקב השמטה?
אילו תפקידי דירקטוריון לפי סעיף 20 אינם ניתנים עוד להאצלה?
הנחיית NIS 2 מוחקת את רשת הביטחון של "מישהו אחר יטפל בזה" עבור הדירקטורים. אחריות הדירקטוריון כמו אישור הערכת סיכונים, אישור מדיניות סייבר אסטרטגית, ו... תגובה לאירוע לא ניתן להעביר את המוכנות למיקור חוץ בבטחה - לוועדות, לפונקציית האבטחה או ליועצים חיצוניים. לשון החוק מפורשת: נדרשת מעורבות פעילה ואישית מכל דירקטור לאורך כל מחזור הציות.
- כל חבר דירקטוריון: חייבים להשתתף בדיונים על ניתוח סיכוני סייבר, סקירות מדיניות ומחזורי אישור.
- יומני אימון: חייב להראות לא רק נוכחות, אלא גם איזה מנהל השלים איזו מפגש ומתי.
- פרוטוקולי מועצת המנהלים וחילוקי דעות: שתיקה היא דגל אדום. מצופה מדירקטורים לאתגר, לדון ולתעד דעות שונות - גם כאשר הן חולקות על דעתן. אישור פסיבי אינו עוד אופציה.
- חתימות דיגיטליות ורשומות: חייבים לעקוב אחר כל החלטה מרכזית, אירוע הדרכה וסקירה - שבילי מסמכי סקירה הם מיושנים.
פיקוח בלתי פורמלי מתאדה בבדיקה רגולטורית; מה שחשוב מתועד בזמן, נרשם ומוסבר.
אי השתתפות אישית בהכשרה של הדירקטוריון או אי אישור מפורש (או אי הסכמה) להחלטות הקשורות לסיכון מהווה כיום רשלנות ברמת הדירקטוריון. תיעוד איתן - מבוסס תפקידים, עם חותמת זמן - אינו "נחמד שיש" אלא ציווי תפעולי.
טבלת גישור לפי ISO 27001: חובות הדירקטוריון תחת סעיף 20 לעומת נוהג ISO
| תוֹחֶלֶת | תרגול מועצת המנהלים התפעולית | ISO 27001 / נספח א'. |
|---|---|---|
| אישור רשמי של המדיניות | פרוטוקול, נימוק, חתימה דיגיטלית של מנהל | 5.1, 5.4, A.5.1 |
| הכשרת סייבר למנהלים | יומני אימון, עם הפניות צולבות לפי שם/תאריך | 7.2, 7.3 |
| פיקוח וסקירת סיכונים | יומן פעולות מוקלט ומעקב אחר חתימה | 8.2, 8.3 |
| אישור תוכנית האירוע | עדכונים שנרשמו בפרוטוקול הדירקטוריון, היסטוריית גרסאות | A.5.24 |
| סירובים/התנגדויות מתועדים | נימוק יומן, התנגדויות, החלטות שליליות | 9.3, A.5.35 |
כל ציפייה ניתנת למדידה, ניתנת לסקירה, וחשוב מכל - ניתנת למעקב מסלולי ביקורת.
שלטו ב-2 שקלים ללא כאוס בגיליונות אלקטרוניים
מרכז סיכונים, אירועים, ספקים וראיות בפלטפורמה אחת נקייה.
אילו סוגי אירועים או מחדלים הופכים את חברי הדירקטוריון לאחראים לפי סעיף 20?
סעיף 20 אחריות אישית אינו שמור לדליפות נתונים מתוקשרות - הוא מכסה גם התראות שהוחמצו, יומנים לא שלמים ואפילו רגעים שקטים בישיבות דירקטוריון. אם אינך משתתף באופן קבוע ובאופן גלוי, אתה משאיר חלל רגולטורי שהחוקרים מאומנים כיום לשים לב אליו.
- הודעות על אירועים באיחור או בהיעדרות: סעיף 2 לדיווח על אירועים חמורים מחייב חלון זמן של 24-72 שעות. אם המועד האחרון חולף, והדירקטוריון אינו יכול להראות פעולה החלטית ומתועדת, דירקטורים בודדים נמצאים במוקד הרגולציה.
- תוכניות משבר מיושנות: סקירות ועדכונים תקופתיים שנרשמו בפרוטוקול של הדירקטוריון צפויים במרווחי זמן קבועים. אין תיעוד, אין הגנה.
- אירועים כמעט-טעונים חסרים ביומנים: אי תיעוד של "כמעט אירועים" מאותת על לקיחת סיכונים פסיבית.
- אישורים גנריים או החלטות שלא הוגשו נגדן ערעורים: חותמת גומי או חוסר מעורבות ביקורתית מספרים סיפור של מנהיגות נעדרת.
לפעמים האינדיקטור הבולט ביותר לסיכון הוא מה שחסר ברשומה.
אחריות קושרת כעת פעולה וראיות: מה שלא תערער או תתעד עלול לעלות לך כמו הפרה.
טבלה קטנה: טריגר לנתיב ראיות
| הדק | יומן פעולות הדירקטוריון | קישור ISO/SoA | דוגמה לראיות ביקורת |
|---|---|---|---|
| הפרת נתונים | תגובה + יומן שיעור, סיכון עודכן | א.5.25, 26 | פרוטוקול, תקשורת שביל ביקורת |
| הודעה שהוחמצה | ביקורת התראות, יומן הסלמה | A.5.25 | חותמות זמן, ציר זמן, תשובת הרגולטור |
| כמעט תאונה שלא דווחה | נימוק לרישום "אי הסלמה" | 8.2, 8.3, A.5.35 | תיעוד דיון, מחלוקת |
| התוכנית לא נבדקה | סקירה נרשמה, חתימה על גרסה | א.5.24, 5.25 | יומן הפורום, ראיות לבקרת גרסאות |
| אין הודעה מרשות | הסלמה, פנייה לרשות | A.5.26 | רשומת חתימה, יומן תקשורת |
אילו השלכות אישיות וכלכליות צפויות לדירקטוריונים שנכשלים במסגרת סעיף 20?
המשטר של סעיף 20 הופך את ההשלכות לאישיות ומיידיות. דירקטורים בודדים יכולים כעת לעמוד בפני הליכים משפטיים - ללא קשר להסדרי דירקטוריון קיבוציים - כאשר הם אינם מצליחים לספק ממשל אבטחת סייבר פעיל וניתן לביקורת.
- קנסות: ישויות חיוניות מסכנות 10 מיליון אירו או 2% מהמחזור העולמי; ישויות חשובות 7 מיליון אירו או 1.4% (2 ₪, סעיף 34). מספרים אלה תואמים את GDPR אבל עכשיו ציינו השלכות ניהוליות, לא רק תאגידיות.
- סנקציות לא כספיות: דירקטוריונים עומדים בפני ביקורת ציבורית, השעיה או פסילה, ושמותיהם עשויים יפורסמו.
- השלכות ביקורת וביטוח: גם אם לא יגיע רגולטור, חברי הדירקטוריון עלולים להיות מושעים או לאבד את שכר הדירה חידוש ביטוח אם הם לא יכולים להראות מעורבות. פוליסות D&O מכסות לעיתים רחוקות רשלנות גסה או מכוונת - בדיוק הפער של 2 ₪.
- סיכון חוזי: שרשראות אספקה ושותפים עסקיים דורשים כיום ציות רשום, כאשר הפרת חובות סייבר הופכת יותר ויותר לעילה לפיטורים או תביעה משפטית.
האדוות היא כלכלית, מקצועית ותדמיתית: שובל הראיות שלך הוא המגן שלך - או הגדר החסרה סביב אחריות אישית.
היו מוכנים ל-2 שקלים מהיום הראשון
הפעל עם סביבת עבודה ותבניות מוכחות - פשוט התאם אישית, הקצא וצא לדרך.
כיצד על מועצות לבנות מערכת ראיות ותיעוד אטומה למים עבור סעיף 20?
התרופה לחשיפה של NIS 2 לאחריות היא תיעוד חי ועמיד בפני שינוי: "קופסה שחורה" דיגיטלית לפעילות הדירקטוריון בתחום אבטחת הסייבר. הדירקטוריונים צריכים:
- חתימה דיגיטלית: כל אישור, דחייה או סקירת מדיניות חייבים להיות מיוחסים לחבר, תאריך ונימוק ספציפיים.
- יומני הדרכה והשתתפות בלתי ניתנים לשינוי: הפניה צולבת לבמאי, זמן ואירוע.
- רישומי אירועים והסלמה: מה קרה; מי עשה מה; מתי; ופעולות מעקב.
- יומני החלטות שליליות: דחיות, חילוקי דעות, ותיעוד של "אי שינויים" (תחום שלעתים קרובות מתעלמים ממנו אך חיוני לביקורת).
- שמירה וניהול גרסאות: חפצים המעודכנים באופן קבוע ומנוהלים באופן מרכזי - רצוי במערכת אוטומטית ובלתי ניתנת לעריכה כמו ISMS.online.
קרשים צריכים בולי עץ שמגנים עליהם לפני שהווסת דופק, לא אחרי.
פלטפורמות שנועדו לתאימות הופכות את התהליך הזה לאוטומטי: אינכם צריכים לרדוף אחר חתימות, לשכפל ראיות או "למלא" החלטות לאחר מעשה. זוהי חוסן ויכולת הגנה בפעולה.
מה על הדירקטוריונים לעשות ב-24-72 השעות הראשונות לאחר תקרית?
זמן אינו ניתן למשא ומתן: סעיף 20 מצפה מהדירקטורים לפעול בבהירות ובמשמעת רישום תוך 24-72 שעות. הדירקטוריונים הניתנים להגנה ביותר תרגלו את הצעדים הבאים לשם מהירות ויכולת מעקב:
- הפעל את תוכנית המשבר באופן מיידי: , להקצות תפקידים ולהתחיל לרשום את האירוע.
- תיעוד כל מעורבות הדירקטורים: מי נוכח, מה נדון, מה הוחלט. כל דיון והסלמה מקבלים חותמת זמן.
- יש להודיע לרשויות הרלוונטיות במסגרת הזמנים שנקבעו: , שמירת אישור דיגיטלי של הפעולה.
- רוץ לפי הנחיות ENISA: עבור פורמט הדיווח ואיכות הפירוט.
- שמירה על נגישות ואחריות: על הדירקטורים להיות נוכחים ומודעים לכך, אחרת הם עלולים להסתכן בתביעות רשלנות חמורה.
- מינוף יומנים מתרגילים אחרונים: כדי להראות שתרגלתם ולא רק תכננתם (יומני השתתפות ומשוב הם כעת המפתח).
הביטוח הטוב ביותר הוא תרגיל משבר מתועד וחוזר על עצמו. הוכחה היא פעולה תחת לחץ.
עבור דירקטוריונים המטפלים תגובה לאירוע כמדיניות גרידא, עקומת הלמידה לאחר משבר היא יקרה. אלו עם יומן חי ובר-אישור לא רק שורדים בדיקה, הם לעתים קרובות נמנעים לחלוטין מההשלכות הגרועות ביותר.
כל 2 השקלים שלך, הכל במקום אחד
מסעיפים 20-23 ועד תוכניות ביקורת - להפעיל ולהוכיח עמידה בתקנות, מקצה לקצה.
כיצד משפיעים הבדלים לאומיים על החשיפה האמיתית של כל מועצה במסגרת 2 ₪?
2 ש"ח קובעת סף רגולטורי; מדינות חברות רבות מוסיפות דרישות מחמירות. דירקטוריונים חייבים להיות ערניים במיוחד לא רק למה שההנחיה אומרת, אלא גם למה שהחוק הלאומי דורש.
- מדינות מסוימות מחייבות הכשרה מוגברת של מנהלים: , מעבר למינימום של האיחוד האירופי.
- שפה מקומית ותיעוד משפטי: (חתימות, יומנים, מדיניות) עשויים להידרש לצורך תאימות.
- כללים ספציפיים למגזר ותבניות קבוצות: מגזרים המפוקחים מאוד (פיננסים, בריאות, אנרגיה) עשויים להוסיף שכבות משלהם.
- גודל וציר זמן של ראיות לספקים: יכול להיות ספציפי למדינה, במיוחד עבור שותפים חוצי גבולות או בתחום התשתית הקריטית.
מועצות אסטרטגיות:
- קבעו סקירות משפטיות: עבור כללי יישום לאומיים.
- ריכוז בעיות תאימות באמצעות ניהול גרסאות: -מקור אחד של אמת לכל התחומים.
- הפעל ביקורות ותרגילים מדומים לפי מדינה: , תוך הבטחה שכל דירקטור מוכן לבקשות מקומיות.
זה מונע התלבטויות של הרגע האחרון, אי התאמות שקטות, ומגביר את הביטחון בחדרי הישיבות ברחבי השטח האירופי שלכם.
אבטחו את מוכנות הדירקטוריון שלכם לסעיף 20 עם ISMS.online
NIS 2 מנפצת את המיתוס של דירקטוריון בטוח ואנונימי. כיום, כל נתיב מעורבות, הכשרה ואישור של דירקטור עשוי להפוך לראיה קריטית בסכסוך רגולטורי או חוזי. ISMS.online תוכנן לחוסן ברמת הדירקטוריון: כל אישור מדיניות, אירוע הכשרה, יומן אירועים, והאישור מעוגן בארכיון מאובטח ומוכן לביקורת - נגיש תמיד, לעולם לא אובד, וניתן להגנה מלאה.
זה לא הזמן לציות פסיבי או לסיכומי ישיבה מקושקשים. הזמינו את חבריכם הדירקטורים לדיון מוכנות לאבטחת סייבר ברמת הדירקטוריון: ציידו כל חבר בחדר במגן התואם את המציאות האירופית החדשה. הפכו סיכון אישי לסמל חוסן - הפכו את התחייבויותיכם לפי סעיף 20 למנהיגות שוק.
שאלות נפוצות
כיצד סעיף 20 לחוק 2 של חוק ניהול עסקים מעמיד את הדירקטורים בקו האש - ומה באמת משתנה עבור חברי הדירקטוריון?
סעיף 20 של חוק NIS 2 קובע כי כל דירקטור אחראי באופן אישי לפעולות הסייבר של הארגון, תוך היפוך תפיסות ישנות של פיקוח קולקטיבי או פיקוח שהופקד על ידי האצלת האחריות. רגולטורים לא יקבלו עוד "אחריות קבוצתית" או יאצילו את האשמה ל-IT. במקום זאת, כל דירקטור חייב להיקרא בשמו במפורש ברשומות דיגיטליות - אישור מדיניות, עיסוק בפיקוח, השלמת הכשרה משלו והעלאת חששות. אם חברה מטפלת בצורה לא נכונה בפריצה או במועד אחרון לדיווח, חוקרים בוחנים את פרוטוקולי הדירקטוריון, יומני ההדרכה, החתימות ורישומי הערעור, ולא אישור מעורפל של "אישור הדירקטוריון". אלו ששמם או פעולותיהם חסרים - או שמעורבותם פסיבית - נחשבים בסיכון. זה מוביל למעבר מ"נוכחות" סמלית לקבלת החלטות אקטיבית וניתנת למעקב. ימי הדירקטורים השקטים הם ימי טביעות אצבע דיגיטליות אישיות מדי - כיום המגן האמיתי היחיד.
אחריותיות עוברת מהמופשט אל הבלתי ניתן להכחשה - כתובה בכל יומן, אישור והתנגדות.
הבדלים עיקריים ממשטרים קודמים
- אין מגן קולקטיבי: דירקטורים אינם יכולים עוד לתבוע הגנה בתביעה קבוצתית.
- ראיות הן הכל: אם לא עשית את זה, החוק מניח שלא עשית את זה.
- מעורבות מתמשכת: נוכחות פסיבית אינה מספיקה - רגולטורים רוצים לראות שאלות נשאלות, דעות מופרכות מועלות וסיכונים נבחנים באופן פעיל עם ייחוס גלוי של המחבר.
אילו תפקידי דירקטוריון הם כעת אישיים לחלוטין במסגרת חוק 2 שקלים חדשים - ואילו ראיות עליך להציג?
סעיף 20 משרטט קו ברור סביב חובות ספציפיות של הדירקטוריון בתחום הסייבר:
- אישור מדיניות ובקרות סיכונים: כל דירקטור חייב לספק חתימה אישית (דיגיטלית או בכתב יד), לא רק "של הדירקטוריון".
- פיקוח אקטיבי על סיכונים: שאלות מעורבות, חתימות, המשך - חייבות להירשם בשמן ב רישום סיכוניםאו פרוטוקול הדירקטוריון.
- הכשרה בתחום אבטחת הסייבר: כל דירקטור חייב להשלים *באופן אישי* את ההכשרה הנדרשת ולהירשם לה, כאשר רישומי תאריך/שעה ניתנים לאימות על ידי בדיקה של צד שלישי.
- אישור תגובה לאירוע: כל דירקטור מופיע בישיבות חירום, כאשר הצהרותיו והחלטותיו מתועדות עבור כל אירוע משמעותי.
- רישום התנגדות או ערעור: חילוקי דעות, שאלות ביקורתיות או אסטרטגיות חלופיות נרשמות לכל אדם - ולא יאבדו בסיכום הקבוצתי.
סוגי ראיות חיוניים:
- יומני חתימות דיגיטליות עבור מדיניות והחלטות.
- רישומי הכשרה בסייבר המקושרים למנהל (אין רישומים גופיים של "הכשרה בדירקטוריון").
- פרוטוקול ישיבה עם הצהרות ייחוס, אישורים ושאלות.
- הסלמה באירוע ויומני תגובות המראים מי היה נוכח, מי תרם ואיזו פעולה ננקטה.
- ארכיונים מאובטחים ומבוקרי גרסאות (לא גיליונות אלקטרוניים או שרשורי דוא"ל רגילים).
טבלת תפעול ISO 27001
| תוֹחֶלֶת | הוכחה נדרשת | תקן ISO 27001/נספח א' |
|---|---|---|
| אישור מדיניות/נוהל קריאה על ידי המנהל | חתימה דיגיטלית/נייר | 5.1, A.5.1 |
| השלם הכשרה סייבר באופן אישי | יומני פלטפורמה אישיים | 7.2, 7.3 |
| לפקח, לפעול בהתאם לסיכונים | מיוחס רישום סיכונים ערכים | 8.2, 8.3 |
| מעורבות מועצת אירועים/משברים | התנגדות/פעולה בפרוטוקולים/יומנים | A.5.24 |
אילו כשלים או "נקודות עיוורות" יחפשו הרגולטורים - וכיצד דירקטורים הופכים לאחראים אישית?
חשיפת דירקטורים אינה נוגעת רק לפרצת כותרות פומבית. רוב האחריות האישית מתחילה בפערים ברישום:
- דוחות תקריות חסרים או מאוחרים: אם ההודעה חורגת מחלון הזמן של 24-72 שעות והדירקטוריון אינו יכול לגבות את מי שנשכר או את מי שנתן החלטות, תיבדק בקפידה כל דירקטור.
- סקירת סיכונים לא רשומה: אי תיעוד הסקירה הפעילה, התנגדות או אישור שלך בפרוטוקולים או ברישומי סיכונים.
- אימון סייבר שדילג עליו או שלא הוכח: אי השלמת - או אי קיום הוכחה דיגיטלית של - סשנים של אבטחה ברמת הדירקטוריון.
- ציוד חסר בדקות או בהחלטות: נוכחות שקטה, התנגדות שלא נרשמה, או אישורים אנונימיים מהווים כברירת מחדל חזקה של חוסר מעש.
- כישלון בהסלמת "כמעט תאונות": אם אירוע מתעלם או לא נחקר, פטור עצמי מכוח בעלות או נוכחות סמלית אינו מהווה הגנה לפי סעיף 20.
פערים או נוכחות מעורפלת פוגעים בציות; ההגנה הטובה ביותר של דירקטור היא ששמו מחובר להחלטות, להכשרה ולפיקוח, שורה אחר שורה.
אילו קנסות כספיים ותדמית חלים - האם ביטוח D&O יכול להציל דירקטורים האחראים באופן אישי?
דירקטורים של "ישויות חיוניות" מסתכנים בקנסות של עד 10 מיליון אירו או 2% מהמחזור העולמי; "ישויות חשובות" עומדות בפני קנסות של עד 7 מיליון אירו או 1.4%. אך ההשפעה היקרה ביותר היא לרוב פסילה, מתן שמות/בושות או ביטול חוזים. באופן מכריע, פוליסות ביטוח D&O דורשות יותר ויותר רשומות דיגיטליות ברמת הדירקטור - חתימות חסרות, דילוג על הדרכות או פרוטוקולים שלא נרשמים עלולים לבטל תביעות. אם דירקטור אינו יכול לייצא ראיות לפיקוח קפדני - בנפרד מליומי פיקוח כלל-חברתיים - הוא עלול להישאר חשוף לחלוטין (Noerr, 2024). שותפי חוזים, רואי חשבון ומשקיעים בודקים כיום את הרישומים הללו באופן יזום, ודפוס של דירקטורים "נעדרים" מהווה דגל אדום רציני.
טבלת קנסות וביטוח
| סוג ישות | מקס פיין | סיכון ביטוח לביטול אם קיימים פערים | רמת סיכון |
|---|---|---|---|
| חִיוּנִי | 10 מיליון אירו / מחזור של 2% | סביר מאוד | גָבוֹהַ |
| חָשׁוּב | 7 מיליון אירו / מחזור של 1.4% | סביר | בינוני-גבוה |
| הכל | פסילות | מסוים | גָבוֹהַ |
מהן ראיות דיגיטליות "סטנדרט הזהב" לעמידה בדרישות סעיף 20 של המועצה?
ההגנה הטובה ביותר היא יומן דיגיטלי בלתי משתנה שקושר כל פעולה, חתימה, חילוקי דעות ונוכחות של במאי לחותמת זמן - מקום מינימלי לספק או שגיאה.
- יומני אישור דיגיטליים: כל מדיניות ברמת הדירקטוריון, סקירת סיכונים או תגובה לאירוע מציגה את הפעולה והחתימה המפורשות של המנהל.
- רישומי מפגשי אימון: נוכחותו והשלמתו של כל דירקטור נרשמות ואינן ניתנות להחלפה רטרואקטיבית.
- דקות מבוקרות גרסה: פעולות, שאלות והתנגדויות מיוחסות לדירקטורים בודדים.
- נתיבי ביקורת אירועים: הסלמות, החלטות ודיונים במהלך התגובה נרשמים, כאשר כל מנהל מזוהה לפי תפקידו ותרומתו.
- התראות אוטומטיות: חתימות שהוחמצו, הדרכה באיחור או תזכורות מהירות להתנגדויות שלא נרשמות - מפחיתות את הסיכון לאי-ציות פסיבי.
- יכולות ביקורת/ייצוא: הורדה מיידית של ראיות בנוגע לפעילות דירקטוריונית עבור רגולטורים או רואי חשבון.
מערכות נייר, גיליונות אלקטרוניים גנריים או יומני רישום של מחלקות בלבד בדרך כלל נכשלים במבחן זה. פלטפורמה כמו ISMS.online, שנבנתה במיוחד עבור סעיף 20, הופכת את הייחוס, השמירה ותפוקת הביקורת לאוטומטית, ומסירה טעויות אנוש ממשוואת הציות.
טבלת עקיבות
| הדק | עדכון סיכונים | קישור בקרה/SoA | דוגמה לרישומי ראיות |
|---|---|---|---|
| אימוץ מדיניות | מדיניות מתוקנת | 5.1/A.5.1 | חתימת מנהל, חותמת זמן, ארכיון |
| המשבר הסלים | סקירת אירוע/ראיות | A.5.24 | פעולה בעלת שם ביומן אירועים, פרוטוקול |
| סיכון שהועלה | התראה לפגישת דירקטוריון | 8.2 | אתגר/שאילתה הוזנה תחת מנהל |
מה על המנהלים לעשות במהלך אירוע כדי להבטיח ציות והגנה אישית?
עמידה בדרישות נמדדת לא רק בתוכניות, אלא גם בפעולות מיידיות, עם חותמת זמן, המיוחסות למנהלים:
- תרגול הפעלת אירוע (תפקידו של כל מנהל הוגדר והוכר לפני המשבר).
- רישום נוכחות ונוכחות של כל הדירקטורים בתחילת המפגש - פיזי או מרחוק.
- תעדו כל פעולה, אתגר, התנגדות והנחיה בזמן אמת, תוך ייחוס בשמם.
- יש להודיע לרשויות בתוך חלונות זמן רשמיים (24-72 שעות), תוך צרף הוכחה לייצוא של מי אישר כל שלב.
- המשך לרשום ולייצא כל פעולה ותקשורת של המנהל עד לפתרון.
- השתמשו בתבניות/זרימות דיווח רשמיות של ENISA כדי לתקנן את התיעוד (ENISA, 2023).
- לאחסן את כל המעורבות לקחים לבדיקה משפטית וביקורתית עתידית.
מועצות שמקצות תפקידים מראש, מנהלות חזרות דיגיטליות ומאפשרות רישום אוטומטי, סוגרות את הפרצות שלעתים קרובות חושפות את הבמאים בצורה הגדולה ביותר.
כיצד כללים ספציפיים למדינה משנים את חובותיהם של דירקטורים - ומהו הפתרון חוצה הגבולות?
בעוד שסעיף 20 קובע את המינימום של האיחוד האירופי, המדינות החברות כבר... הוספת שכבות של דרישות קשות יותר:
- הולנד: תעודות רשמיות להכשרת סייבר למנהלים הן כעת חובה.
- גרמניה: קושרת התחייבויות של 2 שקלים לחוק החברות הלאומי, מה שמגדיל את החשיפה.
- בריאות, פיננסים ותשתיות: הוסיפו דרישות ספציפיות למגזר - הכשרת מנהלים, לוחות זמנים לאירועים, תופעות לוואי של ביקורת - במקביל ל-NIS 2.
- דירקטוריונים רב-לאומיים: חייבים לטפל ולהוכיח עמידה בדרישות עבור כל מדינה, לא רק ברחבי האיחוד האירופי.
ביקורות מדומות שנתיות, סקירה משפטית של תיעוד דירקטוריון וניהול רישומים דיגיטלי חזק - המותאם לדרישות חוצות גבולות - הן כעת נושא מרכזי בשולחן.
כיצד ISMS.online מאפשר לדירקטורים לשלוט בחובות ובראיות לפי סעיף 20?
ISMS.online מספק א עמוד שדרה אחיד של תאימות המיוחס למנהלים עבור סעיף 20:
- כל מדיניות, סקירת סיכונים, אישור, אי הסכמה או הדרכת סייבר נרשמים לפי אדם, גרסה וחותמת זמן.
- נתיבי ביקורת דיגיטליים ופונקציות ייצוא מבוססות תפקידים: לוודא שראיות לעולם לא יאבדו, יימחקו או יישמרו בזיכרון.
- תזכורות אוטומטיות, הקצאת זרימת עבודה ומצבי ביקורת מדומים מפחיתים את הנטל והסיכון של החמצת צעדים.
- חפיפות מגזרים והתאמות תחומי שיפוט תומכות בכל חברי הדירקטוריון - בתעשיות שונות ובמדינות האיחוד האירופי - ומבטיחות מוכנות עבור רגולטורים, שותפים ומשקיעים במקום אחד.
ההגנה החזקה ביותר שלך בחדרי הישיבות היא טביעת האצבע הדיגיטלית שלך בכל החלטה, אתגר, אישור והדרכה מרכזיים בסייבר - מוכנה לפי דרישה, תמיד על שמך.
