סגור
גג עמוד techtalk דסק

הרגולציה האירופאית החדשה על חברות הדיגיטל - איך היא תשפיע על ההייטק הישראלי

הרגולציה האירופאית החדשה שנכנסה לתוקף מחייבת חברות טכנולוגיה ישראליות לעמוד בסטנדרטים המחמירים, ולא - הן צפויות לסנקציות חמורות, פגיעה תדמיתית ואובדן נתח שוק 

החודש נכנסה לתוקף רגולציה אירופאית חדשה בשם DORA (Digital Operational Resilience Act). על אף שמדובר בחקיקה אירופאית יחסית נישתית, רגולציה זו משנה את כללי המשחק עבור רבות מחברות הטכנולוגיה הישראליות הפועלות בשוק האירופאי, בייחוד אלו המספקות שירותים למוסדות פיננסיים. מדובר באבן דרך משמעותית עבור תעשיית ההייטק הישראלית וחשוב שכל חברה בתחום תוודא שהיא עומדת בדרישות הרגולטוריות החדשות בהקדם, שכן, אי-עמידה עלולה להוביל לאובדן לקוחות, פגיעה במוניטין ואף סגירת דלתות בפני הזדמנויות עסקיות חדשות באירופה.
DORA קובעת סטנדרטים מחמירים בתחום אבטחת המידע וניהול סיכונים טכנולוגיים עבור מגוון רחב של מוסדות פיננסיים, בהם חברות אשראי, בנקים, חברות ביטוח, חברות השקעות, בורסות מסחר, ספקי שירותי קריפטו, מתווכי ביטוח ועוד. במילים אחרות, כל מוסד המעורב בפעילות פיננסית בתחומי האיחוד האירופי יידרש לעמוד בדרישות אלו.

רק מה שמעניין - הצטרפו לערוץ כלכליסט בטלגרם

DORA היא חלק ממגמה רחבה יותר של הגברת הרגולציה על ספקי שירותים טכנולוגיים באירופה, ונולדה בעקבות ההבנה הגוברת באיחוד האירופי בדבר חשיבות העמידות התפעולית והדיגיטלית של המגזר הפיננסי כנגד איומי תקיפות סייבר ותקלות טכנולוגיות. בעידן בו התלות בטכנולוגיה היא בלתי נמנעת, החשיבות של ניהול סיכונים טכנולוגיים ושמירה על פעילות רציפה של מוסדות פיננסיים נעשית קריטית יותר. מטרתה העיקרית של הרגולציה החדשה היא להבטיח את המשכיות הפעילות של מוסדות פיננסיים באירופה, תוך קביעת סטנדרטים אחידים בכל הנוגע לאבטחת טכנולוגיות התקשורת והמידע (ICT). בכך, מבקשת DORA להבטיח שגורמים המעורבים במערכת הפיננסית, כולל ספקי שירותי טכנולוגיה ותקשורת חיצוניים, יעמדו בדרישות המחמירות של אבטחת מידע וניהול תקריות.
עבור חברות טכנולוגיה ישראליות, ההשלכות של אי-עמידה בדרישות הרגולציה עשויות להיות מרחיקות לכת. מעבר לסיכון המיידי של אובדן לקוחות ונתח שוק, אי-ציות עלול להוביל לסנקציות חמורות. אלה עלולות לכלול קנסות כבדים, חשיפה לחקירות רגולטוריות ותביעות משפטיות ולנזק תדמיתי משמעותי.
ישראל, הידועה כמעצמת טכנולוגיה עולמית, מונה חברות סייבר רבות, SaaS, פינטק, ניתוח ביג דאטה וענן המספקות שירותים למוסדות פיננסיים באירופה. לפי הערכות שונות, מדובר במאות חברות ישראליות שעשויות להיות מושפעות מהרגולציה החדשה. חשוב להבין כי ברוב המקרים DORA אינה חלה ישירות על חברות ישראליות, אך היא מטילה חובות נרחבות על המוסדות הפיננסיים האירופאיים בכל הנוגע לניהול הסיכונים הטכנולוגיים שלהם. כתוצאה מכך, ספקי שירותי ICT, וביניהם חברות ישראליות רבות, יידרשו להעלות את הסטנדרטים של אבטחת מידע, לפתח מנגנוני תגובה וניהול תקריות, ולהבטיח המשכיות עסקית.
האתגר הגדול ביותר עבור חברות ישראליות הוא האפשרות לסיווגן כספקי שירות "קריטיים". סיווג כזה עלול להוביל לדרישות מחמירות יותר, עד כדי חובה לספק שירותים דרך חברת-בת אירופאית וכפיפות ישירה להוראות הרגולטור האירופאי. מדובר בשינוי משמעותי שעלול להשפיע על המודל העסקי של חברות רבות ולדרוש השקעה רבה במבנה התאגידי ובמערכות חדשות. אי ציות של ספק שמוגדר קריטי, עלול לגרור סנקציות כבדות יותר, לרבות קנסות ישירים על חברי הדירקטוריון.
1 צפייה בגלריה
מימין עו"ד רן יוסף ו רואי קידר משרד ארנון תדמור לוי
מימין עו"ד רן יוסף ו רואי קידר משרד ארנון תדמור לוי
מימין רן יוסף ורואי קידר
(צילום: ניקי וסטפהל)
לחברות שיש לקוחות פיננסיים באירופה, ההסתגלות לרגולציה החדשה צריכה לקרות במיידי. על החברות לפתח מנגנוני תגובה לאירועי ICT, לשדרג את מערכות אבטחת המידע שלהן, ולגבש תוכניות מקיפות להמשכיות עסקית.
מדובר באתגר משמעותי עבור חברות טכנולוגיה ישראליות הפועלות בשוק הפיננסי האירופי. אי-עמידה בדרישות עלולה להוביל לא רק לאובדן הזדמנויות עסקיות, אלא גם לסנקציות חמורות ונזק תדמיתי ארוך טווח. מאידך, חברות שיעמדו בדרישות יוכלו להבטיח את המשך פעילותן התקינה בשוק ולבנות אמון רב יותר מול לקוחות.
עוה"ד רואי קידר ורן יוסף הם ממחלקת הטכנולוגיות המתקדמות ו-AI, פינטק, בלוקצ׳יין וקריפטו במשרד ארנון תדמור-לוי