האחריות של הדירקטורים הולכת ומתרחבת – איפה הגבול? | הדר צופיוף הכהן, מנכ"לית איגוד הדירקטורים בישראל בטור דעה מיוחד
הדר צופיוף הכהן 18.09.2024בשבוע שעבר פרסמה הרשות להגנת הפרטיות הנחייה העוסקת בתפקיד הדירקטוריון בקיום חובות התאגיד לפי תקנות הגנת הפרטיות (אבטחת מידע). הנחיות אלו מהוות עוד שלב בשרשרת של תקנות ורגולציות שהופכות את תפקיד הדירקטור לעמוס ומורכב יותר מאי פעם. הדירקטורים, שכבר היום נושאים באחריות כבדה על החלטות עסקיות ורגולטוריות, מקבלים עתה אחריות חדשה ומחייבת בתחום הסייבר ואבטחת המידע – תחום שרבים מהם אינם מומחים בו, אך חייבים לפקח עליו מקרוב.
מצד אחד, אין ספק שהצורך בפיקוח על אבטחת מידע הוא קריטי בעידן שבו איום הסייבר מרחף מעל כל חברה אפשרית ואובדן מידע פרטי עלול להוביל לא רק להשלכות עסקיות, אלא גם לפגיעה אמיתית בלקוחות. הדירקטוריון, כגוף המפקח העליון של החברה, חייב להיות אקטיבי וליזום דיונים בנושא על מנת להבטיח קיומם של תהליכים המבטיחים כי שהחברה עומדת בתקנות ומגנה על עצמה מפני איומים חיצוניים.
אבל, אם נהיה כנים לרגע – יש פה דילמה. דירקטורים הם לא בהכרח אנשי סייבר ולא סביר לצפות מהם לרדת לפרטי פרטים של ניהול אבטחת המידע. תפקידם העיקרי הוא לפקח על הנהלה שביצוע משימות אלו נמצא בתחומה. לכן, המטרה שלנו הייתה ונשארה ברורה להבטיח שהגבול בין פיקוח לניהול לא יטושטש. ואכן, אני שמחה לומר שרוב הערות איגוד הדירקטורים בישראל שהוגשו לטיוטה ההנחיות התקבלו ברובן במסמך הסופי.
לאורך הדרך, גילינו פרטנרים אמיתיים, נציגי הרשות להגנת הפרטיות היו קשובים, הציגו את עמדתם והבינו את החששות שהוצגו בפניהם. אנו שמחים על ההקשבה ועל כך שמרבית ההערות שהעלנו, כמו ההבחנה בין תפקיד הדירקטוריון לתפקיד ההנהלה והצורך בגמישות לחברות קטנות, התקבלו. זהו שיפור מהותי שיקל על דירקטורים לבצע את תפקידם.
יחד עם זאת, אי אפשר להתעלם מהעננה המרחפת מעל התהליך כולו: ההחמרה המתמשכת באחריות של הדירקטורים, בטח בעידן שבו שכר הדירקטורים נותר ללא שינוי במשך שנים רבות. האחריות על אבטחת המידע היא עוד חוליה בשרשרת האחריות המתארכת. הדירקטורים של היום נדרשים להבין ברגולציות פיננסיות, ממשל תאגידי, סיכוני סייבר, ומי יודע מה יהיה השלב הבא. כל זאת, בעוד ששכרם לא מתעדכן, ונראה כי תחושת ה"נטל" רק הולכת וגוברת. סוגיה זו מראה כי השייכות לאיגוד מקצועי הפועל למען ריכוז הדירקטורים אינו עוד עניין של בחירה לציבור הדירקטורים כי אם חובה בסיסית כדי להבטיח הנגשה של הידע המתפתח וייצוג ראוי מול הרגולטורים.
כחלק מהתמודדות עם האחריות המורחבת, איגוד הדירקטורים ימשיך להעניק כלים מקצועיים, הדרכות וייעוץ לדירקטורים כדי לעזור להם להטמיע את ההנחיות החדשות בצורה מיטבית. ההכשרות הללו יסייעו לדירקטורים להבין את המורכבות שבאחריות על אבטחת מידע ולפעול נכון במסגרת פיקוח על מערכות החברה.
לצד האחריות ההולכת וגוברת כדאי לדבר גם על ה"פיל שבחדר" – שכר הדירקטורים: האחריות המתרחבת מגדילה את החשיפה לתביעות, בטח בסוגיית סייבר שכולנו יודעים שהאיום הוא אינו "אם" אלא "מתי" וגם להגדיל את הנטל היומיומי. גידול החשיפה מחייב תיקון התגמול והתאמתו לעומס המוטל עליהם.
לסיכום, ההנחיות החדשות בתחום אבטחת המידע הן תגובה נדרשת לעולם שמשתנה במהירות ואכן יש צורך אמיתי להבטיח שהדירקטוריון ישגיח ויפקח בצורה הדוקה יותר על נושאי פרטיות ואבטחת מידע, לצד זאת עלינו לזכור כי דירקטורים אינם יכולים לקחת על עצמם את כל הנטל. תפקידם המרכזי צריך להישאר פיקוחי, ולא ניהולי. אנו קוראים להמשיך ולדון באופן שבו אחריות הדירקטורים מוגדרת, ובמקביל לבחון את סוגיית התגמול, כדי להבטיח שהדירקטורים יוכלו להמשיך לתפקד ברמה הגבוהה ביותר, מבלי לקרוס תחת עומס האחריות.
הכותבת הינה מנכ"לית איגוד הדירקטורים בישראל