מאת: אורן יגר |VP Cybersecurity & Global CISO | Board Advisor | Tech Due Diligence

15.02.2026

בעולם הסייבר, שנתיים הן נצח. טכנולוגיות משתנות, איומים מחליפים צורה, והתוקפים משתכללים. אבל יש דבר אחד שנשאר יציב, ואף מתחזק: האחריות של הדירקטוריון.

בינואר 2023 פרסם איגוד הדירקטורים גילוי דעת בנושא "אחריות הדירקטוריון בנושא הסייבר". במבט לאחור, המסמך הזה לא היה רק המלצה רגולטורית – הוא היה נבואי. הוא שרטט קווים לדמותו של ממשל תאגידי תקין, שהפכו היום לסטנדרט הזהב שעל פיו נמדדת כל הנהלה וכל דירקטוריון בעת משבר.

כמי שחי את התחום למעלה מ-20 שנה, אני חוזר למסמך הזה שוב ושוב, לא בגלל שהוא חדש, אלא בגלל שהוא מציג עקרונות יסוד על-זמניים. אלו הם העוגנים שמונעים מהספינה להתהפך כשהגלים בחוץ סוערים.

הנה שלושת עקרונות הברזל מתוך המסמך, שהפכו לקריטיים מתמיד במציאות הנוכחית:

עקרון 1: ה"מגן המשפטי" הוא התהליך, לא התוצאה

העיקרון הראשון והחשוב ביותר הוא שהדירקטוריון לא נבחן במבחן התוצאה ("האם נפרצנו?"), אלא במבחן הדרך ("האם פיקחנו?"). המסמך מדגיש את עקרון "שיקול הדעת העסקי" (Business Judgment Rule).

המשמעות ב-2026:

בעידן שבו פריצה היא כמעט גזירת גורל ("When, not If"), ההגנה היחידה של הדירקטור מפני תביעה אישית בגין רשלנות (Caremark) היא קיומה של תוכנית אכיפה פנימית.

הכלל הוא פשוט ואכזרי: "לא תיעדת – לא השגחת". דירקטוריון שאין לו פרוטוקולים מסודרים המראים דיון מעמיק בסיכונים, הקצאת משאבים ובקרה על ההנהלה – הוא דירקטוריון חשוף. הניירת הזו היא השכפ"ץ שלכם.

עקרון 2: אי אפשר לפקח על מה שלא מבינים

המסמך קבע כבר אז קביעה נחרצת: דירקטוריון חייב מומחיות. זה יכול להיות דירקטור עם רקע טכנולוגי או יועץ קבוע לדירקטוריון.

המשמעות ב-2026:

המצגות של ה-CISO הפכו למורכבות יותר. בלי "מתורגמן" בחדר, הדירקטוריון הוא שבוי. הוא רואה שקפים ירוקים ולא יודע לשאול את שאלות ה"קידוח": האם מערכות ה-AI החדשות מאובטחות? האם שרשרת האספקה שלנו מנוטרת?

המסמך הבהיר: הדירקטור לא צריך להיות האקר, אבל הוא חייב מישהו לידו שיודע לזהות מתי מורחים אותו. ללא הפונקציה הזו ("הצ'לנג'ר"), הפיקוח הוא פיקציה.

עקרון 3: אמון זה נחמד, בקרה (Evidence) זו חובה

אולי הנקודה הכואבת ביותר במסמך היא הדרישה לא להסתפק בדיווחים פנימיים, אלא לדרוש הערכה חיצונית בלתי תלויה.

המשמעות ב-2026:

אנחנו רואים יותר ויותר מקרים של "אבטיח" – ארגונים שנראים ירוקים בחוץ (בדוחות הנהלה) אבל אדומים בפנים. העיקרון העל-זמני כאן הוא הפרדת רשויות. ה-CISO לא יכול לבדוק את עצמו.

הדירקטוריון חייב לדרוש הוכחות (Evidence): לא "התקנו מערכת גיבוי", אלא "הנה דו"ח מתרגיל שחזור שנערך אתמול". לא "העובדים מודעים", אלא "הנה אחוזי הנפילה בקמפיין הפישינג האחרון". הפיכת הדיון מתיאורטי לאמפירי היא הדרך היחידה לנהל סיכון באמת.

השורה התחתונה: חזרה ליסודות

במרוץ אחר הטכנולוגיה הבאה, קל לשכוח את היסודות. אבל המסמך של איגוד הדירקטורים מזכיר לנו שהאתגר האמיתי הוא לא טכנולוגי, אלא ממשלי.

כמומחה סייבר וכדירקטור, ההמלצה שלי היא לאמץ את נספח ג' של המסמך ("תבנית אכיפה פנימית") לא כהמלצה, אלא כנוהל עבודה מחייב. זה המנגנון שמאפשר לנו להסתכל לבעלי המניות בעיניים ולהגיד: "עשינו כל מה שדירקטוריון סביר צריך לעשות".

זה היה נכון ב-2023, וזה נכון שבעתיים היום

דיסקליימר

האמור בנייר עמדה זה אינו חוות דעת משפטית או מקצועית וללא נועד להחליף יעוץ משפטי או טכנולוגי בהתאם לנסיבות הארגון.  האמור בנייר זה, הינו עמדתו המקצועית של הכותב.