שני שינויים משמעותיים בדרך: תכנית העבודה של רשות שוק ההון לשנת 2026 מציבה אתגרים חדשים לסוכנויות ביטוח

החודש (ינואר 2026) פרסמה רשות שוק ההון את תכנית העבודה שלה לשנת 2026, ובה נכללים נושאים שונים הרלוונטיים לסוכנים וסוכנויות ביטוח בהם מתעדת הרשות לטפל השנה:

* פרסום "חוזר סוכנים ויועצים – "ניהול סיכוני סייבר ואבטחת מידע" (חדש).

* פרסום "חוזר מנהל עסקים – סוכנויות" (חדש).

* תיקון חוזר "מסמך הנמקה" – עדכון והתאמה לטכנולוגיה ושינויים נוספים.

* תיקון "חוזר שירות ללקוחות גופים מוסדיים"  בנוגע למשיכת כספי חיסכון פנסיוני.

* תיקון "תקנות הכשרה והתמחות".

* תיקון חוזר "כללים להתמחות נאותה".

* עדכון מודל וסכומי האגרות – צפויה עלייה באגרות.

פרסום חוזרים חדשים החלים על סוכנים וסוכנויות ביטוח בשנה אחת אינו דבר שבשגרה ולכן בחרתי במאמר זה להתמקד בשני נושאים אלו: ניהול סיכוני סייבר ואבטחת מידע, וחוזר מנהל עסקים – סוכנויות.

בעידן של התקפות סייבר מתמשכות ומורכבות הולכת וגוברת של ניהול סוכנויות ביטוח, רשות שוק ההון מזהה פערים משמעותיים בשני תחומים קריטיים: ניהול סיכוני סייבר ואבטחת מידע מצד אחד, ורמה מקצועית של מנהלי עסקים בסוכנויות מצד שני.

שינוי ראשון: חוזר ניהול סיכוני סייבר ואבטחת מידע

הרשות מתכננת להוציא חוזר חדש המסדיר את תחום ניהול סיכוני הסייבר ואבטחת המידע בקרב סוכנים ויועצים – הן יחידים והן תאגידים. מדובר באסדרה חדשה שתקבע הוראות ספציפיות לניהול סיכונים אלו, לצורך פיקוח ואכיפה טובים יותר.

הרשות מזהה התגברות משמעותית באירועי סייבר והחשש לפגיעה באבטחת המידע של חוסכים ומבוטחים. סוכנויות ביטוח מחזיקות במידע רגיש במיוחד – נתונים פיננסיים, מידע רפואי, פרטים אישיים של אלפי לקוחות. פריצת אבטחה בסוכנות יכולה לחשוף מידע רגיש של מאות ואף אלפי לקוחות, ולגרום נזק תדמיתי וכלכלי חמור.

השינוי הזה מגיע בעקבות ובמקביל לתיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט 2025 ומעניק לרשות להגנת הפרטיות סמכות להטיל עיצומים כספיים של עד מיליוני שקלים. סוכנויות ביטוח נמצאות כעת בצומת רגולטורי: מצד אחד, תיקון 13 מחייב אותן לנהל נכון את מאגרי המידע ולהגן עליהם; מצד שני, רשות שוק ההון מתכוונת להסדיר באופן ספציפי את ניהול סיכוני הסייבר. שני הרגולטורים מתכנסים לאותה נקודה – הגנה על מידע הלקוחות.

השינוי הזה יחייב סוכנויות ביטוח ליישם תהליכים פורמליים לניהול סיכוני סייבר, כולל:

• מדיניות אבטחת מידע מתועדת ומעודכנת
• בקרות טכנולוגיות למניעת פריצות ודליפת מידע
• הדרכות עובדים בנושאי אבטחת מידע באופן קבוע
• תהליכי זיהוי וטיפול באירועי סייבר
• ביקורות תקופתיות של מערכות אבטחת המידע

שינוי שני: חוזר מנהל עסקים בסוכנויות

לפי הוראות הדין הקיימות, סוכנות תאגיד נדרשת למנות מנהל עסקים לכל סניף ובכל ענף ביטוח בו היא פועלת, ומינוי זה הוא תנאי מקדים לקבלת רישיון. החוזר החדש יקבע הוראות מפורטות למינויו של מנהל עסקים, כולל תנאי כשירות, הגדרתו כנושא משרה בתאגיד, ותיאור מפורט של תפקידיו וסמכויותיו.

הרשות מזהה שונות ברמה המקצועית של מנהלי עסקים בסוכנויות שונות. בעוד שחלק מהסוכנויות מעסיקות מנהלי עסקים מקצועיים ומנוסים, אחרות נוהגות למנות מנהלי עסקים פורמליים בלבד, ללא מעורבות מהותית בניהול השוטף. הרשות רוצה לשמר סטנדרט ראוי למילוי תפקיד זה.

החוזר החדש צפוי לקבוע:

• תנאי כשירות מחמירים יותר למנהל עסקים
• הגדרת התפקיד כנושא משרה – משמעות הדבר היא חובות ואחריות משפטית מוגברת
• תיאור תפקידים וסמכויות מפורט – סיום התופעה של "מנהל עסקים נומינלי"
• דרישות לניסיון והכשרה מקצועית

איך להיערך?

לפני שתתחילו להיערך לחוזרים החדשים, חשוב להבין שההיערכות לתיקון 13 לחוק הגנת הפרטיות היא חובה חוקית שכבר נכנסה לתוקף. זה לא עוד פרויקט שאפשר לדחות – זו מציאות רגולטורית קיימת. יותר מכך, עדיף להשלים את ההיערכות לתיקון 13 עוד לפני פרסום החוזר החדש על סיכוני סייבר, כי אחרי פרסומו תצטרכו לבצע עבודה נוספת והתאמות מעבר למה שכבר עשיתם.

לתיקון 13 וחוזר סיכוני סייבר:

1. בצעו סקירת סיכונים מקיפה – מפו את כל מאגרי המידע, מערכות המידע, נקודות התורפה, והחשיפות לאיומי סייבר
2. פתחו מדיניות אבטחת מידע – גבשו מסמך מדיניות מקיף ומותאם לסוכנות שלכם, בהתאם לתקנות אבטחת מידע ולדרישות תיקון 13
3. תעדו את מאגרי המידע – ודאו שיש לכם מסמכי הגדרת מאגר מעודכנים לכל מאגר מידע
4. שקלו פתרונות טכנולוגיים – השקיעו במערכות אבטחה, גיבוי וניטור. כשמטמיעים רגולציה חדשה, עדיף להתחיל מהתחילה עם טכנולוגיה ולהקים תשתית חכמה ורזה שתאפשר לכם לנהל את הסיכון בצורה מיטבית בהמשך
5. הדריכו עובדים – ביצעו הדרכות תקופתיות בנושאי פרטיות ואבטחת מידע, כנדרש בתקנות

לחוזר מנהל עסקים:

בניגוד להיערכות לתיקון 13 ולנושא סיכוני הסייבר שדורשים פעולה מיידית, בנושא מנהלי עסקים כדאי לחכות לפרסום החוזר הספציפי ולראות מה הדרישות המדויקות. ייתכן מאוד שהדרישות החדשות לא יחייבו החלפת מנהל העסקים הקיים, אלא שינויים באופן הפעולה בסוכנות – הגדרת תפקידים ברורה יותר, הרחבת סמכויות, דרישות תיעוד, או הליכי דיווח מסודרים יותר.

סיכום

שני השינויים הרגולטוריים שמופיעים בתכנית העבודה של רשות שוק ההון, יחד עם תיקון 13 לחוק הגנת הפרטיות והעובדה שרשות הגנת הפרטיות סימנה את סוכנויות הביטוח כמגזר בעל רמת בחינה גבוהה במיוחד (כפי שעולה מדוח הביקורת רוחב שפרסמה הרשות ב-2022), מצביעים על כך שסוכנים וסוכנויות לא יכולים להמשיך ולנהוג כפי שנהגו עד היום – כאילו הרגולציה היא בעיה של אחרים. הוסיפו לזה את השינויים הרגולטורים האחרים הצפויים אשר פורטו בתחילת המאמר, ניתן להבין כי מדובר במגמה ברורה ומכוונת.

המסר המרכזי הוא פשוט: זה שאתם דוחים את הטיפול בבעיה לא אומר שהיא נעלמה. זה שקיבלתם חוות דעת מעורך דין ביחס לרגולציה, לא אומר שנערכתם אליה כמו שצריך. מדובר בשינוי תפישה שסוכנות ביטוח צריכה לעשות – מעבר מתפיסת "ציות כמינימום" לתפיסת "ניהול סיכונים פרואקטיבי". זה דורש הקצאת משאבים אמיתית – תקציב, זמן, ותשומת לב ניהולית.

הסוכנויות שיבינו את המגמה הרגולטורית, שיתחילו להשקיע בתשתיות טכנולוגיות נכונות כבר עכשיו, ושיבנו יכולת ניהול רגולציה שוטפת ומסודרת – הן אלה שלא רק יעמדו בדרישות, אלא גם ירוויחו יתרון תחרותי משמעותי. בעולם שבו אמון הלקוחות הוא נכס קריטי, היכולת להוכיח ניהול אחראי ומקצועי של המידע שלהם היא לא פחות מהכרחית.

** מאמר זה הינו סקירה כללית בלבד ואינו מהווה תחליף לייעוץ משפטי או רגולטורי.