SEC משנה את חוקי המשחק: דיווח סייבר חדש – מה זה אומר לחברות ציבוריות?

ביולי 2023 הרשות האמריקאית לניירות ערך – ה-SEC – שינתה את חוקי המשחק בעולם אבטחת המידע.

אם את או אתה אחראים על ניהול סיכונים, ציות, ממשל תאגידי או אבטחת מידע בחברה ציבורית – כדאי שתמשיכו לקרוא עד הסוף.


כי החל מעכשיו, אירועי סייבר לא נשארים סודיים – הם הופכים לחובה רגולטורית לדיווח.


📣 הרקע: למה ה-SEC בכלל מתערבת בנושא סייבר?

ה-SEC לא מנסה להפוך ל"רשות הסייבר האמריקאית".

אבל היא כן אחראית על שוק ההון – ולפיכך גם על מידע מהותי שיכול להשפיע על משקיעים.


ולאורך השנים, ככל שהתקפות סייבר הלכו ונעשו הרסניות יותר – כך גדלה ההבנה שגם אירוע סייבר הוא אירוע מהותי, ממש כמו התרסקות במכירות או פשיטת רגל של לקוח עוגן.


כך, למשל:


מתקפת כופר שמשביתה שרשרת אספקה.


דליפת מידע אישי של לקוחות.


חדירה למערכות פיננסיות.


כל אלה משפיעים על פעילות החברה, המוניטין שלה, והאמון הציבורי בה.


אז אם זה מהותי – ה-SEC רוצה לדעת, והמשקיעים זכאים לדעת.


🧾 מה אומרים הכללים החדשים?

1. דיווח על אירוע סייבר מהותי בתוך 4 ימי עסקים (Form 8-K)

אם החברה חוותה אירוע סייבר מהותי – היא מחויבת לפרסם דיווח תוך ארבעה ימי עסקים, הכולל:


מה קרה? (אופי האירוע)


מתי זה קרה?


מה היקף הנזק / ההשפעה?


איך זה משפיע על הפעילות העסקית, המוניטין או נתוני החברה?


שימו לב – מדובר גם על אירועים בתהליך בירור.

הדגש הוא לא על ממצאים מלאים, אלא על חשיפה שקופה בזמן אמת, כדי שהמשקיעים לא יישארו באפלה.


🛑 החרגה אחת בלבד: ניתן לבקש דחייה בדיווח אם משרד המשפטים מאשר שהפרסום עלול לפגוע בחקירה פעילה.


2. תיאור ניהול סיכוני סייבר בדוח השנתי (Form 10-K)

החל מהשנה, החברות מחויבות לפרט בדוח השנתי:


אילו תהליכים קיימים לזיהוי והערכת סיכוני סייבר.


איך מנוהלים סיכונים אלה בפועל (טכנולוגית, תהליכית וארגונית).


כיצד מתבצע ניטור מתמשך ותגובה לאירועים.


האם החברה פועלת לפי מסגרות אבטחת מידע כגון ISO 27001 או NIST.


הדרישה כאן ברורה:

לא מספיק לכתוב "אנחנו משקיעים באבטחת מידע" – צריך להראות שיטה, תהליך, מדיניות, ואחריות ניהולית.


3. פיקוח דירקטוריון ותפקיד ההנהלה (גם ב-10-K)

ה-SEC דורש עכשיו לדעת:


האם לדירקטוריון יש אחריות רשמית לפיקוח על סיכוני סייבר.


האם קיימת ועדת משנה או גורם ייעודי לנושא.


מה הניסיון, הידע או ההכשרה של הדירקטוריון בתחום.


מה תפקידה של ההנהלה הבכירה באיתור, ניטור ותגובה לסיכונים.


במילים אחרות –

לא עוד "זה נושא של ה-IT".

הסייבר נכנס לליבת הממשל התאגידי.


⚠️ למה התקנות האלו הן שינוי עמוק – ולא רק "עוד דיווח"?

כי הן מחייבות לא רק שקיפות – אלא היערכות פנים-ארגונית רצינית.


האם יש לכם מדיניות מסודרת לאירועי סייבר?


האם אתם יודעים להגדיר "מהותי"?


האם יש לכם מנגנון תגובה מהיר + יכולת הפקת דיווח תוך 4 ימים?


האם הדירקטוריון שלכם מוכן להסביר את תפקידו בתחום הזה?


אם לא – אתם חשופים.

לא רק להתקפה, אלא גם להפרת כללי SEC, תביעות ייצוגיות וסנקציות רגולטוריות.


💡 איך נערכים לזה נכון?

🔄 1. מיפוי סיכוני סייבר מהותיים

אילו נכסים דיגיטליים מהותיים יש לארגון?


מה קורה אם הם מושבתים, נפרצים או נחשפים?


אילו תרחישים ייחשבו "מהותיים" לפי ההשפעה על משקיעים?


🧩 2. הקמת צוות תגובה והגדרת נהלים

מי בצוות הניהול מתכנס ברגע אירוע?


האם יש פורמט דיווח מוגדר מראש?


איך יוצרים אינטגרציה בין צוות סייבר, משפטי, רגולציה ותקשורת?


🛠 3. יישום מתודולוגיה מקיפה – לדוגמה ISO 27001

התקן כולל תהליך סדור לניהול סיכונים, תגובה לאירועים, ניהול מסמכים, ביקורות פנימיות ועוד.


מאפשר לדווח ל-SEC בצורה תשתיתית ומבוססת – ולא מאולתרת.


יוצר נראות ברורה של אחריות, פיקוח, תרבות ארגונית.


🧑‍⚖️ האחריות כבר לא מופשטת – היא אישית

מה שהיה פעם "בעיה של מחלקת ה-IT"

הופך היום לאחריות דירקטוריון והנהלה בכירה.


ה-SEC מאותת בבירור:

אתם חייבים להבין, לפקח ולדווח.


דירקטור שלא יודע לענות על שאלות בסיסיות על סייבר –

כבר לא יכול להסתתר מאחורי היעדר מומחיות.

הוא חייב לבקש את המידע, לקבל הדרכה, ולדרוש מדדים.


🧭 ומה קורה בישראל?

גם הרשות לניירות ערך הישראלית מגבשת בימים אלו חובות גילוי דומות.

הכיוון ברור – אירועי סייבר הם חלק בלתי נפרד מהתנהלות ציבורית תקינה.


לכן, גם חברות שאינן אמריקאיות – אך פועלות עם שוק אמריקאי או שואפות להנפקה –

חייבות להתחיל לפעול בהתאם.


✍️ לסיכום: כל ארגון צריך לשאול את עצמו 3 שאלות

האם אנחנו יודעים לזהות מהותיות של אירוע סייבר?


האם יש לנו תוכנית ברורה איך מגיבים, מדווחים, מתעדים?


האם הדירקטוריון שלנו באמת שותף לניהול הסיכון?


אם התשובה לשלוש מהן היא "לא בטוח" –

הגיע הזמן לחשוב מחדש על מבנה האבטחה, האחריות והתרבות הארגונית.


🚀 איך אני יכולה לעזור?

אני מלווה חברות ציבוריות ופרטיות בתהליכים של ניהול סיכוני סייבר, יישום ISO 27001, והתאמה לרגולציה החדשה של ה-SEC.


🔍 ננתח יחד את מצב האבטחה הקיים

🧭 נבנה תהליך מדויק לדיווח ולניהול אירועים

📄 ניישם מדיניות שמאפשרת לכם לעמוד בדרישות – ולהפחית את החשיפה


📞 לפגישת ייעוץ ראשונית, ללא התחייבות

שלחו לי הודעה כאן או היכנסו לקישור:



ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame

ארבע השאלות שכל מנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה אחרי פסח

By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.
Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs

BCP, DR ו-ISO 22301 — מה ההבדל ולמה רוב הארגונים בישראל עדיין לא מוכנים?

By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.
נראה זכוכית מגדלת ענקית שבוחנת טיפה של חומר.

מדריך 2026: עדכון גיליונות בטיחות (SDS) – האם אתם עומדים ברגולציה האירופית החדשה?

By Ronit Sade March 19, 2026
אם העסק שלכם עובד עם השוק האירופי או מייבא חומרים מאירופה, כנראה ששמתם לב לשינוי בפורמט ה-SDS. תקנה 2020/878 של האיחוד האירופי נכנסה לתוקף מלא, והיא מחייבת עדכון משמעותי של כל גיליונות הבטיחות.
ה-FDA ואת ה-ISO כשני חלקי פאזל ענקיים שמתחברים בדיוק מושלם, ויוצרים גשר יציב מעל אוקיינוס.

המדריך המלא ל-QMSR: איך יצרני מכשור רפואי בישראל צריכים להתכונן למהפכת ה-FDA?

By Ronit Sade March 13, 2026
עידן חדש ברגולציית המכשור הרפואי: ה-FDA פרסם את חוק ה-QMSR (Quality System Regulation Amendment), הממזג רשמית את דרישות 21 CFR Part 820 עם תקן ISO 13485:2016 הבינלאומי. עבור חברות ישראליות המייצאות לשוק האמריקאי, מדובר בשינוי דרמטי בניהול סיכונים ובקרת איכות.
Colorful cartoon illustration of a food safety inspection scene with a quality inspector examining a

אוגוסט 2026 מתקרב: האם העסק שלך מוכן לדרישות HACCP בישראל?

By Ronit Sade February 19, 2026
אוגוסט 2026 מסמן שינוי משמעותי בדרישות HACCP ומערכת בטיחות מזון עצמית לעסקים קטנים ובינוניים. מה משתנה, מי חייב להיערך, ואיך להימנע מאכיפה מנהלית? מדריך מעשי ליצרני מזון.
Business Continuity Plan document on a clipboard inside an industrial facility, with safety helmet,

BCP לארגונים תעשייתיים: איך לבנות תוכנית המשכיות עסקית שבאמת עומדת בביקורת

By Ronit Sade February 13, 2026
מה זה BCP ואיך בונים תוכנית המשכיות עסקית שבאמת עומדת בביקורת? מדריך פרקטי לארגונים תעשייתיים כולל חיבור ל ISO 9001 ו ISO 13485, טעויות נפוצות וטיפים ליישום אפקטיבי.
שעון חול דרמטי שבו מסמכי ISO 13485:2016 נוזלים כלפי מטה וקוברים בניין של ה-FDA, לצד שעון מעורר שמציג

2 בפברואר 2026: היום שבו ה-FDA מפסיק “להחליק פינות”

By Ronit Sade February 5, 2026
Starting February 2, 2026, the FDA will enforce QMSR aligned with ISO 13485:2016. What this means for medical device manufacturers—and why waiting is no longer an option.
תרשים שילוב מדדי קיימות במדדי איכות – Green QA ו‑ESG

איכות ירוקה (Green QA & ESG): מדד חדש בעידן של קיימות

By Ronit Sade January 29, 2026
למד כיצד עקרונות Green QA ו‑ESG משנים את עולם הבטחת האיכות – מדידת פליטות פחמן, אנרגיה ופסולת כחלק אינטגרלי בדוחות איכות.
גרף שמציג תהליך עמידה ב‑21 CFR Part 11 לרשומות וחתימות אלקטרוניות

Electronic Records & Electronic Signatures – מדריך מקצועי ל‑21 CFR Part 11

By Ronit Sade January 22, 2026
מדריך מקצועי ל‑21 CFR Part 11 של ה‑FDA לניהול רשומות וחתימות אלקטרוניות — דרישות, טעויות נפוצות, וולידציה, אבטחה ודוגמאות יישום מהשטח.