תביעות נזקי סייבר: מה אחריות המנהלים ואיך מגנים על הארגון?
מתקפת סייבר אינה עוד שאלה של "אם" אלא "מתי". המשמעות המשפטית בשנת 2026 חמורה מאי פעם. לפי חוק החברות, תשנ"ט-1999, דירקטורים ומנהלים חשופים לתביעות אישיות בגין כשלי ניהול סיכוני סייבר, אם לא נקטו בצעדים סבירים למניעת הנזק. תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025, הוסיף חובת דיווח מהירה על דליפת מידע לרשות להגנת הפרטיות ולנפגעים, וסנקציות כספיות של מאות אלפי שקלים על הפרות. הרשות להגנת הפרטיות אף מוסמכת לנהל חקירה ולהטיל עיצומים מינהליים גם על נושאי משרה באופן אישי. ביטוח סייבר מכסה חלק מהנזקים – אך רק אם הפוליסה נרכשה מראש, הארגון עמד בדרישות הסף שבפוליסה, ואין חריג לרשלנות, ועוד. משרד וולר ושות' בחיפה, המדורג BDI ו-Dun's 100 לשנת 2026 ופועל מאז 1965, מייצג ארגונים ונושאי משרה בתביעות נזקי סייבר ומול רגולטורים.
מהן תביעות נזקי סייבר?
תביעות נזקי סייבר הן תביעות משפטיות הנובעות מנזקים ישירים או עקיפים שנגרמו עקב מתקפות סייבר – דוגמת מתקפת כופר, פריצת מאגרי מידע, חשיפת מידע אישי או רגיש, השחתת מערכות, או הפסקת שירותים דיגיטליים. תחום זה מתפתח במהירות, ובתי המשפט בישראל, וברחבי העולם, בוחנים את גבולות האחריות הנזיקית, החוזית והרגולטורית.
סוגי תביעות נזקי סייבר
דו"ח חברת מארש, ברוקר הביטוח הגדול בעולם, קובע כי היקף הנזקים, וסוגי הנזקים כתוצאה מאירועי סייבר, מביאים בשנים האחרונות להתרחבות תחום ביטוחי סייבר: פוליסה המכסה את אחריות המבוטח בגין נזק פיננסי הנגרם על ידו לצד ג', כתוצאה מכשלים באבטחת המידע ו/או הגנת הפרטיות. בנוסף, הפוליסה מכסה את הנזק הפיננסי לחברה עצמה כתוצאה מאירוע סייבר, הכולל פיצוי כספי בגין אבדן הכנסה, הוצאות ניהול אירוע הסייבר, הוצאות דמי כופר וקנסות רגולטורים. הגנות והרחבות נוספות הן ביטוחי סייבר לדירקטורים ולנושאי משרה. תביעות נזקי סייבר יכולות להתחלק למספר קטגוריות עיקריות:
תביעות ייצוגיות – הגנה על פרטיות הצרכן
נפגעתם מדליפת מידע אישי? תביעה ייצוגית עשויה להיות הפתרון. צרכנים רבים פונים לערכאות בעקבות פרצות אבטחה, תוך הסתמכות על תקנות הגנת הפרטיות בישראל, חוק הגנת הצרכן, ולעיתים אף על הוראות ה-GDPR האירופי. התובעים טוענים לרוב כי הארגון הנתבע לא הפעיל אמצעי אבטחה סבירים כדי להגן על המידע שלהם, נכשל בהגנה על המידע האישי שלהם וכתוצאה נגרם נזק. עקרונית, על מנת לבסס ייצוגית, על התובע להוכיח כי הארגון גרם לו לפגיעה בפרטיות, התרשל בשמירה על מאגרי המידע שלו או הפר חובות חקוקות (בראש ובראשונה תקנות הגנת הפרטיות, אך גם הוראות של מערך הסייבר הלאומי, הנחיות רשות שוק ההון ורגולטורים אחרים).
תביעות של שותפים עסקיים
חברות עסקיות עשויות לתבוע ספקים או שותפים שנפגעו מתקיפת סייבר, בטענה שהפרצה גרמה להן נזקים עקיפים כמו הפסקת פעילות, אובדן מידע עסקי רגיש, או פגיעה במוניטין.
תביעות של בעלי מניות
במקרים של חברות ציבוריות, בעלי מניות עשויים להגיש תביעות נגד הנהלת החברה וכנגד הדירקטורים, בטענה שכשלו בהגנה על נכסי החברה ובניהול סיכוני הסייבר באופן נאות.
אכיפה רגולטורית ותביעות מטעם המדינה
רשויות רגולטוריות בישראל – כמו רשות הגנת הפרטיות, רשות שוק ההון, רשות ניירות ערך וכיוצ"ב – מחזיקות בסמכויות נרחבות להטלת עיצומים כספיים והגשת כתבי אישום מנהליים ופליליים. על כן, אירוע סייבר מחייב תגובה משפטית זהירה ומנוהלת היטב.
תביעות של חברות ביטוח
במקרים מסוימים, חברות ביטוח עשויות לסרב לשלם תביעות הקשורות לנזקי סייבר, ולהתדיין משפטית עם הארגונים המבוטחים על פרשנות פוליסות הביטוח.
סוגי נזקי סייבר
נזק פיננסי
נזקים פיננסיים עשויים לכלול אובדן הכנסות, הוצאות על תיקון הנזקים והוצאות על חקירות פנימיות. התקפות כמו כופר (Ransomware) עשויות להוביל לתשלום סכומים משמעותיים כדי לשחזר מידע חשוב. נזק נוסף הוא אבדן הכנסות בשל אי יכולת גישה למאגרי המידע, במקרה של השבתת מערכות המחשוב. תביעות המכוונות לנזקים אלה דורשות הוכחה וקשר סיבתי-משפטי לאובדן ישיר ומשמעותי (דבר המתאגר בפני עצמו).
נזק לרכוש
נזק לרכוש יכול להתבטא בהשחתת מערכות מחשוב, אובדן מלא או חלקי של מידע רגיש, ופרצות במערכות אבטחה. הרחבה אפשרית היא שירות ניהול אירוע סייבר ע"י חברת הביטוח. כאשר רכוש פיזי או דיגיטלי נפגע, יש לבחון את ההסכמים הקיימים ואת חובות הצדדים לפי הדין הקיים.
נזק למוניטין
נזקי מוניטין עשויים להיות ההשלכה הקשה ביותר, ובטווח הזמן הבינוני-ארוך, של התקפות סייבר. חברות עלולות לאבד לקוחות, ירידה בנאמנות, ירידה באחוזי המכירות וירידה ברווחים, בעקבות דליפות מידע. נזק למוניטין עלול להשפיע גם על גורמים בשרשרת האספקה של הארגון, דוגמת ספקים, שותפים לעסקים, משקיעים וצדדי ג' אחרים.
נזקי פרטיות
פגיעות בפרטיות, דוגמת חטיפת מידע אישי או מידע רגיש אחר, מחייבות תשומת לב מיוחדת. דיני הגנת המידע, כמו GDPR באירופה, מקנים זכויות מסוימות לאנשים במקרה של פגיעות בפרטיותם.
זקוקים לייעוץ משפטי בנושא הגנת הפרטיות וסייבר?
משרד וולר ושות' מלווה חברות ממשלתות, רשויות מקומיות, תאגידי מים וביוב, עמותות, חברות ודירקטוריונים בניהול משברים, עמידה ברגולציה בתחום הסייבר והגנת הפרטיות.
📍 דרך העצמאות 15, חיפה
📞 טלפון: 04-8661537
📧 [email protected]
ביטוח סייבר: מעטפת ניהולית, לא רק פיצוי
פוליסת סייבר מודרנית היא בראש ובראשונה פוליסת שירות המפעילה צוותים בזמן אמת. עם זאת, חשוב להכיר את מגבלותיה:
| מרכיב הכיסוי | הערך המוסף של הפוליסה | חשיפה שנותרת בארגון |
|---|---|---|
| ניהול משבר | העמדת מומחי פורנזיקה, יועמ"ש מומחה ויחסי ציבור באופן מיידי. | ניהול הספקים חייב להתבצע מול החברה (ולא מול המבטח) לשמירה על חיסיון. |
| נזקי צד ג' | כיסוי לתביעות של לקוחות או שותפים עסקיים שמידע שלהם דלף. | תביעות בגין רשלנות פושעת או ידיעה מוקדמת על פרצות שלא טופלו. |
| נזקים ישירים | שיחזור נתונים, אובדן הכנסות ותשלומי כופר (בכפוף לחוק). | קנסות רגולטוריים של הרשות להגנת הפרטיות ופגיעה ארוכת טווח במוניטין. |
הפן המשפטי והרגולטורי: ניהול "הזנבות" של האירוע
הטיפול בפריצה עצמה הוא רק תחילת האירוע המשפטי. החברה נדרשת לנווט בין מספר שכבות רגולציה:
-
חובות דיווח: עמידה בדרישות הרשות להגנת הפרטיות, רגולטורים סקטוריאליים (כמו בנק ישראל או המפקח על הביטוח) ומערך הסייבר הלאומי.
-
תביעות ייצוגיות ו-D&O: אירועי סייבר מובילים לעלייה חדה בתביעות נגד נושאי משרה (Directors and Officers). הדירקטוריון נדרש להוכיח כי קיים דיון מקדים, הקצה משאבים ואישר מדיניות הגנה הולמת.
-
הערך המוסף של ייעוץ ייעודי: בעוד שהיועמ"ש הפנימי מכיר את הארגון, לרוב נדרשת מומחיות ייעודית לדיני פרטיות וניהול משברים מול גורמי מדינה כדי לצמצם חשיפות משפטיות.
התנהלות חברות הביטוח: ביטוחי סייבר
מנגד, חברות הביטוח המבטחות סיכוני סייבר, החלו לשנות מגמה, באופן מהותי, מהותי ביחס לעלויות, היקף ודרישות ביטוח הסייבר. מגמה זו מתבטאת בעלייה משמעותית בפרמיות הביטוח, צמצום היקף הכיסוי הביטוחי בפוליסות, עליה בסכומי ההשתתפות העצמית בפוליסות, ודרישה ממבוטחים ליתן גילוי מפורט ומקיף בטופס ההצעה לרכישת הביטוח. חברות שאינן עומדות בדרישות רמת האבטחה המינימאליות, עלולות להתקשות למצוא כיסוי ביטוחי, שייתן מענה בזמן אמת.
נזקי סייבר – בין סכום התביעה לסכום הפיצוי
הנתון המפתיע ביותר בדו"ח, הוא השוני בתביעות הסייבר, מיתר התביעות התאגידיות. בביטוחי הסייבר, סכום הפיצוי הסופי שמשולם למבוטח גבוה פי שלושה מסכום התביעה המקורית. זאת לעומת תביעות "רגילות" שבהן סכום התשלום הסופי נע בין 56% ל־87% מהתביעה עצמה. ההסבר לכך הוא שרוב המותקפים, אינם יודעים לכמת את היקף הנזק שנגרם להם, בכל המישורים. על פי חברת מארש, ועל פי ניסיוננו, היקף נזקי הסייבר שנאמדים, באופן ראשוני, רחוקים מלשקף את היקף הפגיעה האמיתית שנגרמת לארגון. כך, סופג הארגון נזקים, בתחומים שונים:
נזקים בגין שיבוש בפעילות השוטפת; תשלום נזקים לצד ג' (בגין אבדן מידע אישי, מידע תאגידי והפרת אבטחת מידע); תשלום קנסות ברי ביטוח (בעקבות הפרת הפרטיות ופגיעה בחופש המידע); תשלום הוצאות מומחי סייבר, יועצי מדיה וניהול משברים; כיסוי לסחיטה (פיצוי בגין כספים ששלומו בעקבות סחיטה ונזקים הנלווים לה לרבות תשלום כופר); תשלומים לשחזור מידע ותיקון המערכות; תשלום אובדן רווחים בעקבות פגיעה מתמשכת ברשת כתוצאה ישירה מכשל באבטחת מידע; מניעת רווחים פוטנציאליים; אבדן הכנסות עתידיות; נזקים תדמיתיים ופגיעה במוניטין הארגון; הוצאות משפטיות; ועוד.
בניית "כתב הגנה טכנו-משפטי": איך מתכוננים?
כדי לצמצם את החשיפה המשפטית ולהפוך מ"חברה רשלנית" ל"ארגון שהותקף למרות מאמציו", עליכם לפעול לפי המודל הבא:
- סקרי סיכונים ומבדקי חדירות (PT): ביצוע בדיקות תקופתיות ותיקון ליקויים מתועד.
- ניהול שרשרת אספקה: בדיקת נאותות (Due Diligence) לספקים ועדכון חוזים הכוללים חובות אבטחה ודיווח.
- תרגול הנהלה: קיום סימולציות של אירועי סייבר המערבות את המנכ"ל והיועמ"ש, ולא רק את אנשי הטכנולוגיה.
- גיבוי והמשכיות עסקית: יכולת התאוששות מהירה היא המפתח לצמצום נזקי אובדן הכנסות ותביעות צד ג'.
מה המשמעויות ללקוחותינו?
- הדו"ח משקף תמונת מצב נכונה ואמיתית, עולמית. רמות הסיכון כתוצאה מתקיפות סייבר, הולכות ועולות, בכל העולם, ובמיוחד בישראל (המהווה יעד מועדף לתקיפה). אלא שהפגיעות הפוטנציאלית של רשויות מקומיות, גדולה במיוחד, לאור רמות ההגנה הנמוכות – ויעידו על כך דו"חות וביקורות גורמי הרגולציה בישראל.
- רשויות מקומיות המיישמות תכנית לניהול סיכון הסייבר כחלק מאסטרטגיית ניהול הסיכונים שלהן (רישום מאגרי מידע, נהלים ותוכניות בתחומי אבטחת מידע, הגנת הפרטיות, המשכיות עסקית, שרשרת אספקה, התקשרויות עם צדדים שלישיים, ביטוח סייבר, הוראות במכרזים, הדרכות לעובדים וכיוצ"ב), משפרות משמעותית את הסיכוי להתמודד בהצלחה עם אירועי סייבר.
- ההתייקרות בפרמיות ביטוחי הסייבר, איננה מקרית. בישראל, כמו בעולם כולו. הצפי הוא שפרמיות ביטוחי הסייבר, יתייקרו בשנים הקרובות. אנחנו ממליצים ללקוחותינו, לשוב ולבדוק את הפוליסה הקיימת להם בתחום הסייבר, ואת הכיסויים המופיעים בפוליסה. הפרמיה לא התייקרה? לפני שתברכו על כך, מומלץ לבדוק האם הכיסויים המופיעים בפוליסה, מכסים כיאות את האירועים השונים, זמינים ומציבים צוות יועצים בזמן אמת, מאפשרים רציפות תפקודית לצרכיכם, ומכסים את בעלי התפקיד ונושאי המשרה, בכל המתווים של תקיפות סייבר.
- במקרה של תקיפת סייבר, הנזקים האמיתיים, הרחבים שייגרמו, גבוהים הרבה יותר, מההערכה הראשונית. יש לשים לב, כי הפוליסה תתייחס ותכסה גם את החקיקה (נכון להיום – הצעת חוק ממשלתית תיקון מס' 14 לחוק הגנת הפרטיות), נזקים מתובענות ייצוגיות (לאור הצעות חוק פרטיות המקודמות בכנסת), שינויי רגולציה, פסקי דין, ועוד.
- ביטוח סייבר אינו פתרון מלא. הוא מרכיב חשוב באסטרטגיה לניהול הסיכון של הארגון. על הארגון לנקוט בסדרת פעולות הנדרשות בתקנות הגנת הפרטיות, לנתח סיכונים, להשקיע משאבים כספיים בתשתיות, לתחזק אותן, להכשיר בעלי תפקידים, לנקוט בפעילויות הסברה, ועוד. להרחבה בתחום היערכות רשויות – מוזמנים לעיין במאמר פרטיות ואבטחת מידע ברשויות המקומיות.
