תקרית ICT — ועדת ניירות הערך והבורסה של קפריסין (CySEC) הציגה הנחיות חדשות המתמקדות בעלויות הקשורות לתקריות משמעותיות בתחום טכנולוגיות המידע והתקשורת (ICT). מהלך זה מגיע כחלק ממסגרת רגולטורית שנקבעה על ידי חוק החוסן התפעולי הדיגיטלי (תקנת DORA).
בנוהל שפורסם ביום רביעי, CySEC הודיעה כי ישויות פיננסיות הנתונות לפיקוחה יחויבו כעת לאמוד את סך העלויות הנצברות וההפסדים השנתיים הנובעים מתקריות ICT משמעותיות. פעולה זו מתיישבת עם ההנחיות המשותפות שפרסמו הרשויות הפיקוחיות האירופאיות (ESAs) ב-17 ביולי 2024.
ההנחיות נובעות מסעיף 11(11) של תקנת DORA, המוכרת רשמית כתקנה (EU) 2022/2554, שהוקמה ב-14 בדצמבר 2022. תקנה זו מטפלת בעיקר בחוסן התפעולי הדיגיטלי של הסקטור הפיננסי.
כל הישויות הפיננסיות הנתונות לסמכותה של CySEC חייבות כעת לדווח על הפסדים הקשורים ל-ICT. זה כולל מגוון רחב של ארגונים כגון חברות השקעות בקפריסין (CIFs), ספקי שירותי נכסים דיגיטליים (Crypto-Asset Service Providers) המורשים על ידי CySEC, ומנפיקי אסימונים המבוססים על נכסים (Asset-Referenced Tokens) כאשר קפריסין היא מדינת הבית. ההנחיות חלות גם על נציגויות מרכזיות לניירות ערך, צדדים מרכזיים נגדיים, זירות מסחר, מנהלי קרנות השקעה אלטרנטיביות, חברות ניהול וספקי שירותי מימון המונים, כולם מורשים על ידי CySEC.
הכנסת ההנחיות המשותפות הללו מכוונת לייסד נוהלי דיווח סטנדרטיים לגבי סך העלויות וההפסדים השנתיים הנגרמים מתקריות ICT משמעותיות. סעיף 11(10) בתקנת DORA מדגיש את חשיבותם של צעדים אלו, ומבטיח שישויות יכולות להעריך ולדווח במדויק על ההשפעות הפיננסיות שלהן כתוצאה מהפרעות ICT.
מזה לצד ציון שיטת האומדן של העלויות, ההנחיות מפרטות תבנית אחידה שעל הישויות הפיננסיות להשתמש בה בעת הגשת סך העלויות וההפסדים השנתיים שלהם. גישה מובנית זו נועדה לשפר את השקיפות והעקביות בתהליך הדיווח.
הרשויות הפיקוחיות האירופאיות (ESAs) פיתחו הנחיות אלה במסגרת סמכותן הרגולטורית, המאפשרת להן ליצור תקני פיקוח משותפים שניתן לאמץ ברחבי הנוף הפיננסי. יוזמה זו צפויה לחזק את חוסנן של המוסדות הפיננסיים אל מול אתגרים טכנולוגיים.
