ניהול המשכיות עסקית

בנק ישראל

הפיקוח על הבנקים
אגף מדיניות והסדרה

לכבוד

התאגידים הבנקאיים וחברות כרטיסי האשראי

מבוא

1. התיקונים להוראה נועדו לחדד היבטים הנוגעים למקרים של שיבושים תפעוליים משמעותיים, לרבות שביתה ואפשרות לשיבוש תפעולי משמעותי בכל המערכת הבנקאית. בכלל זה חשיבות השמירה על תפקודן התקין של מערכות תשלומים וסליקה, המשך אספקת שירותים בנקאיים לציבור, וכן שמירה על מוניטין, רווחיות, ועל המפקידים והמחזיקים בניירות ערך של התאגיד הבנקאי.
2. בעדכון ההוראה שולבו גם תיקוני עריכה ונוסח, וכן בוצעה התאמה לשינויים שהיו בהוראות נוהל בנקאי תקין הנוגעות לבנקאות בתקשורת ולהנחיות הגופים הלאומיים.
3. להלן עיקרי התיקונים:
1.3. חידוד החשיבות של ניהול המשכיות עסקית לצורך הקטנת הנזקים ששיבושים תפעוליים משמעותיים עלולים לגרום, בדגש על תפקוד תקין של מערכות תשלומים וסליקה, אספקת שירותים בנקאיים לציבור, מוניטין, רווחיות, מפקידים ומחזיקים בניירות ערך של התאגיד הבנקאי.
2.3. הגדרה מחודשת של תהליכים ושירותים חיוניים.
3.3. הכללה של אירוע שביתה כגורם שעלול ליצור "שיבוש תפעולי משמעותי".
4.3. עדכון הדרישות בהתייחס לאתרים קריטיים:
1.4.3. דרישה כי בעת הקמת אתר קריטי חדש רמת ה- tier לא תפחת מ- 3.
2.4.3. התנהלות אתר קריטי באירועים של רעידת אדמה ומלחמה.
5.3. ההוראה הופרדה לשני פרקים:
א. כללי – שבושים תפעוליים משמעותיים;
ב. רמות יעדי שירות חיוניים.
6.3. חידוד דרישות לגבי מערכות תשלומים וסליקה בעת שיבושים תפעוליים ובשעת חירום.
7.3. עודכנה מדיניות פתיחת סניפים בשעת חירום.
8.3. נספח ב' – הקלות אפשריות לאוכלוסייה בחירום- הותאם להוראות החדשות בבנקאות בתקשורת.
9.3. כללי: תיקוני עריכה וטיוב נוספים לצורך שמירה על רצף לוגי וסדירות ההוראה.
4. לאחר התייעצות עם הוועדה המייעצת בעניינים הנוגעים לעסקי בנקאות ובאישור הנגידה, החלטתי על עדכון הוראת ניהול בנקאי תקין מס' 355 בנושא "ניהול המשכיות עסקית" (להלן – "ההוראה").

פירוט התיקונים העיקריים להוראה

5. סעיף 1 (מבוא)
הוספה הדגשה לגבי שיפור עמידות התאגיד בעת התרחשות שיבושים תפעוליים משמעותיים; עודכנה ההתייחסות מהשפעת השיבושים ונזקים ששיבושים מסוג זה עלולים לגרום; הוספת התייחסות פרטנית לשמירה על תפקוד תקין של מערכות התשלומים והסליקה ואספקת שירותים בנקאיים לציבור. אגב כך, שונה הנוסח מבעלי מניות למחזיקים בניירות ערך של התאגיד הבנקאי.

דברי הסבר

תיקוני הדגשה ונוסח מותאמים למונחים מקובלים בניהול משברים בנקאיים.
6. סעיף 3 (הגדרות)
1.6. הגדרת "תהליך או שירות חיוני" שונתה ל "כל פעילות, פונקציה, תהליך או שירות שהם חיוניים לשמירה על יציבותו של התאגיד הבנקאי ואמון הציבור, להגנה על לקוחותיו ומפקידיו, ולתפקוד הרציף של מערכות תשלומים ככל שתלוי בתאגיד הבנקאי. הקביעה אם תהליך או שירות מסוים הנם 'חיוניים' תלויה במאפייני הפעילות של התאגיד הבנקאי. בפרט, יחשבו כתהליכים או שירותים חיוניים תהליכים שנדרשים לקיום רציפות תפקודית של אתרים קריטיים ומערכות תשלומים וסליקה".

דברי הסבר

ההגדרה עודכנה להדגשת הקשר שבין יכולת התאגיד הבנקאי להמשיך ולנהל תהליך או שירות חיוניים לשמירה על יציבות התאגיד הבנקאי ואמון הציבור, להגנה על לקוחותיו ומפקידיו, ולתפקודן הרציף של מערכות התשלומים ככל שתלוי בצד התאגיד הבנקאי.
2.6. בהגדרת "שיבוש תפעולי משמעותי" בוצעו תיקוני נוסח והוסף אירוע שביתה לדוגמאות לאירועים שעלולים לגרום לשיבושים תפעוליים משמעותיים.

דברי הסבר

אירועים שעלולים לגרום לשיבושים תפעוליים משמעותיים הם מגוונים ולא תמיד ניתנים לצפייה מראש. התאמת ההגדרה נועדה להסיר ספק כי עמידות התאגיד הבנקאי נדרשת תחת כל אירוע שעשוי להיות בעל השפעה חמורה על הפעילות העסקית הרגילה, הפוגע באזור גדול ובציבור המשולב בו מבחינה כלכלית, ובכלל זה שביתה.
3.6. בהגדרת "תרחיש יחוס" הוספה התייחסות לאירועים פנים ארגוניים.

דברי הסבר

מגוון האירועים שתאגיד בנקאי נדרש להיערך אליהם ושבגינם צפוי להיגרם שיבוש תפעולי משמעותי לתאגיד הבנקאי עשויים לכלול גם אירועים פנים ארגוניים ועל התאגיד הבנקאי להיערך לאפשרות זו מראש.

7. חלק א' – ניהול המשכיות עסקית (עריכה חדשה).

1.7. סעיף 5 – הוסף כי מסגרת העבודה לניהול המשכיות עסקית תתייחס בעיקרה לאפשרות של שיבוש משמעותי בתאגיד הבנקאי, אולם תיקח בחשבון אפשרות לשיבוש כאמור בכלל המערכת הבנקאית. כמו כן, הובהרה החלוקה החדשה בהוראה בין חלק א' הדן בניהול ההמשכיות העסקית במובן הרחב, לבין חלק ב' הכולל התייחסות ייעודית לעניין רמות יעדי שירות חיוניים.
2.7. סעיף 5 (א) נערך טיוב נוסח שמתייחס לתרחישי יחוס. "ניתוח השלכות עסקיות – תהליך דינמי לזיהוי תהליכים ושירותים חיוניים לרבות כאלו בעלי תלות הדדית, גורמי מפתח פנימיים וחיצוניים ורמות עמידות ֹ נאותות. בניתוח זה יש לבחון את התרחישים השונים (תוספת- הערה לא במקור), ולהעריך את הסיכונים ואת ההשפעה הפוטנציאלית על פעולות התאגיד ועל המוניטין שלו".

דברי הסבר:

ההוראה הופרדה לשני פרקים: א. כללי – ניהול המשכיות עסקית ביחס לאפשרות לשיבושים תפעוליים משמעותיים; ב. רמות יעדי שירות חיוניים. בנוסף, על מסגרת העבודה לניהול המשכיות עסקית להתייחס גם לאפשרות של שיבושים תפעוליים מערכתיים. בניתוח ההשלכות העסקיות על התאגיד הבנקאי לבחון תרחישים מגוונים.
3.7. סעיף 6 תיקון שעיקרו עריכה -הועבר מסעיף 5. ונוסחו קוצר לתרחישי יחוס.
4.7. סעיף 6 (ג) (1) המשאב האנושי – הוספה ההדגשה כי תבנה תכנית גיבוי לכוח אדם חיוני להפעלת התהליכים והשירותים חיוניים, לרבות במקרה של שביתה.
5.7. סעיף 6 (ג) (2) ניהול ממשקי התקשורת והסברה – הוספה ההבהרה כי הנהלים יתייחסו לממשקי התקשורת הרלבנטיים לתאגיד הבנקאי בקרות שיבוש תפעולי משמעותי ובכלל זה בשעת חירום.
6.7. סעיף 6 (ג) (5) – תוקן הנוסח מחלופות ל"הפעלת מכשירים אוטומטיים למשיכת מזומנים ומערכות התשלומים והסליקה במקרה של שיבושים תפעוליים" ל- "חלופות להמשך פעילות במקרה של שיבושים תפעוליים בהיבטים הבאים: (א) משיכת מזומנים (גם ממכשירי ATM) (ב) מתן שירות לביצוע תשלומים באמצעות הערוצים השונים של בנקאות בתקשורת וגם באמצעות הסניפים (ג) תפקוד מערכות זהב ומסלקת השיקים, בדגש על פעילות מול
7.7. סעיף 6 (ג) (6) – הוסרה ההתייחסות הספציפית לשעת חירום והסעיף המתוקן מתייחס להערכות כוללת.
8.7. סעיף 6 (ג) (7) – בחלופות עבודה ידנית הוספה ההבהרה כי חלופות עבודה ידנית נדרשות גם לשירותים חיוניים ולא רק לתהליכים חיוניים.
9.7. סעיף 6 (ד) – הוספה ההבהרה כי ההטמעה של תכנית ההמשכיות העסקית תסייע גם בבחינת יכולת הפעלת שירותים חיוניים, במקרה של מחסור בעובדי מפתח. דברי הסבר תיקוני עריכה ועדכון בהוראה להערכות לשיבושים תפעוליים משמעותיים ביחס לתהליכים ושירותים חיוניים, בשעת חירום, בשביתה ובכל תרחיש הנוגע לשיבושים תפעוליים משמעותיים. הוספה התייחסות פרטנית להיבטים הנוגעים לצרכי מזומנים ונזילות, למערכות התשלומים וסליקה, ממשקי תקשורת והסברה והמשאב האנושי. בנוגע למערכות תשלומים וסליקה, הוספו דוגמאות ופורטו פעילויות משמעותיות ליציבות המערכתית.
10.7. סעיף 7 (ביטוח) – הוספה המילה "לפחות" אחת לשנה התאגיד הבנקאי יבחן את נאותות הכיסוי הביטוחי בהתייחס לפרופיל הסיכון העדכני.

דברי הסבר

תיקון נוסח והבהרה.
11.7. סעיף 10 (מיגון אתרים קריטיים) – סעיפים קטנים (ב) (1) ו- (ב)(2) נוסחו מחדש כך שאתר ראשי או חלופי, לפחות אחד משניים ימוגן בפני מלחמה קונבנציונאלית ויהיה עמיד ברעידת אדמה. עודכן הנוסח כי אם אתר קריטי אינו ממוגן עבור רעידת אדמה או מלחמה קונבנציונלית, ישמר התאגיד הבנקאי תכנית אופרטיבית להעמדת שירותים חיוניים באתר החלופי, בהתאם ליעדי השירות שנקבעו בסעיף. 12

דברי הסבר

הרמוניזציה בהערכות נדרשת לתרחיש מלחמה קונבנציונלית או רעידת אדמה.
12.7. סעיף 10 (מיגון אתרים קריטיים) – סעיף קטן (ב)(4) הוספת ההבהרה כי רמת ה- tier בעת הקמת אתר קריטי חדש לא תפחת מרמה 3 בגין אתרי מחשוב. דברי הסבר התאמת ההוראה לסטנדרטים מקובלים בהינתן תרחישי הייחוס הלאומיים והאחרים.
13.7: סעיף 10א' – תאגיד בנקאי יפעל באופן מתמיד למיגון סניפיו בהתאם להנחיות פיקוד העורף הועבר לחלק א' להוראה בהקשר של מיגון אתרים מחלק ב' המתייחס לרמות שירות חיוניות בשעת חירום.

דברי הסבר

תיקון עריכה.

8. חלק ב'- רמות יעדי שירות חיוניים (עריכה חדשה והתאמת נוסח).

דברי הסבר

הפרק מותאם להתייחסות לרמות יעדי שירות חיוניים ונערכו בו תיקוני נוסח לצורך התאמה זו. ככלל, המערכת הבנקאית תשאף לקיים רציפות עסקית מלאה ככל שניתן. יחד עם זאת, בשעת חירום ובמצב של שיבוש תפעולי משמעותי, עשויים להתרחש שיבושים תפעוליים משמעותיים (מערכתיים או ספציפיים לבנק) שיפגעו ביכולת לספק את מלוא השירותים. על כן, תאגיד בנקאי יערך להמשך פעילותו העסקית, על מנת להבטיח את המשך עמידתו לפחות ביעדי רמות השירות המפורטים בחלק זה.
1.8. החלק הכללי של סעיף 12 עודכן – תאגיד בנקאי יערך להמשך פעילותו העסקית ולהמשך עמידתו ביעדי רמות השירות ככל שהדבר בשליטתו.
2.8. סעיף 12 (א) (1) – הוספה דרישה כי תוך שעות ספורות מתחילת השיבושים יעשה מאמץ להבטיח פעילות רציפה של מערכת התשלומים לרבות הממשקים מול מערכת זהב ככל שתלוי בצד התאגיד. הנוסח שונה לכך ש"יעשה מאמץ להבטיח פעילות רציפה של מערכות התשלומים שלו, לרבות הממשקים שלו מול מערכת זהב". וכן עודכן הנוסח "יובטח" בהקשר של משיכת מזומנים ממכשירי בנק אוטומטים ל"יעשה מאמץ להבטיח".
3.8. סעיף 12 (א) (3) – טיוב נוסח.
4.8. סעיף 12 (א) (4) – הועבר לסעיף 13 העוסק בסניפים.

דברי הסבר

ככלל המערכת הבנקאית תשאף לקיים רציפות עסקית מלאה ככל שניתן, אולם מאחר ובשעת חירום או בנסיבות אחרות עשויים להתרחש שיבושים תפעוליים משמעותיים, פורט בהוראה בסיס ליעדי רמות שירות שעל התאגיד הבנקאי לפעול לעמידתו בהם. בוצעו בהוראה עדכונים ותיקוני נוסח נדרשים מידיים, תוך מתן דגש לחשיבות הרציפות התפקודית של מערכות חיוניות כגון מערכת זהב, אולם תוך לקיחה בחשבון כי קיום הפעילות הרציפה תלוי גם בגורמים נוספים שאינם בשליטתו של התאגיד הבנקאי, ולכן לגבי התאגיד נדרש כי "יעשה מאמץ להבטיח" את הפעילות.
5.8. סעיף 13 (פתיחת סניפים בשעת חירום)- מעבר להתאמות עריכה של הזזת סעיפים. סעיף קטן (ב) הפך לסעיף קטן (א) והשתנה הנוסח כך שמדיניות פתיחת סניפים תשאף לפתיחת כל הסניפים, ולא תהיה לפתיחת כל הסניפים. זאת, בהכוונת הפיקוח על הבנקים ובכפוף להנחיות כוחות הביטחון, בכלל זה פיקוד העורף.
6.8. כמו כן, הובהרה רמת השירות בסניף כך שהפעלת סניף משמעה לכל הפחות מתן שירות באמצעות מכונות לשירות עצמי של הסניף או פתיחת הסניף לקהל. תאגידים בנקאיים ימשיכו לספק שירותים בנקאיים באמצעים תחליפיים ככל שהדבר אפשרי בנסיבות העניין, גם אם חלק מהסניפים לא יפתחו בשל מצב החירום. השירות הבנקאי בסניפים שיפעלו בשעת חירום יכלול, לכל הפחות, מתן 6 מידע ללקוחות על מצב חשבונותיהם וביצוע פעולות בנקאיות בסיסיות, כגון: משיכה והפקדת מזומנים, משיכה והפקדת שיקים והעברות בין בנקאיות ופנים בנקאיות.

דברי הסבר

יש להתאים את רמת יעדי השירות לתרחיש בפועל. בשעת חירום מסוג מלחמה נשקלת סוגית הסיכון לחיי אדם (עובדים וציבור) בפתיחת סניפים ולכן עודכנה המדיניות.

דברי הסבר

טיוב הנוסח. כמו כן, במקביל לתיקון הוראה זו בוצעו התאמות בהוראות הדיווח לפיקוח על הבנקים 888) סניפים) ו- 889 (דיווח במצב מיוחד).
9. נספח ב' – הקלות אפשריות לאוכלוסייה בשעת חירום:
1.9. הותאם הנוסח כך שההקלות האפשריות הנוגעות להוראות בנקאות בתקשורת והוראות טלפוניות מותאמות להוראות ניהול בנקאי תקין העדכניות בנושאים אלה. הובהר כי ההקלות הן לתקופת הכרזת המפקח על שעת חירום, ועם סיום תקופת ההכרזה יושלמו ההליכים מול הלקוחות שהצטרפו לשירותי בנקאות בתקשורת בתקופה זו.

תחילה

10. תחילת התיקונים להוראות לפי חוזר זה היא ביום פרסומו.

עדכון קובץ

11. מצ"ב דפי עדכון לקובץ ניהול בנקאי תקין. להלן הוראות העדכון: להוציא עמוד להכניס עמוד (4/17) [3] 355-1-17 (5/14) [2] 355-1-18
בכבוד רב,
ד"ר חדוה בר
המפקחת על הבנקים
המפקח על הבנקים: ניהול בנקאי תקין (3) (17/04)
ניהול המשכיות עסקית עמ' 1-355

ניהול המשכיות עסקית

מבוא

1. תפקידה המרכזי של המערכת הבנקאית בתיווך הפיננסי, בקידום הפעילות הכלכלית ובתהליכי הסליקה, כמו גם חשיבות אמון הציבור ביכולתה של המערכת הבנקאית לתפקד באופן רציף, מחייבים את הבטחת עמידותה בפני שיבושים תפעוליים משמעותיים.
לצורך כך, תאגיד בנקאי נדרש להטמיע מסגרת עבודה כוללת לניהול המשכיות עסקית, באופן ההולם את מאפייני פעילותו, חשיפתו לסיכונים והאסטרטגיה העסקית שלו.
מסגרת עבודה כוללת לניהול המשכיות עסקית תשפר את עמידות התאגיד הבנקאי בעת התרחשות שיבושים תפעוליים משמעותיים הנגרמים מאירועים חיצוניים או פנימיים לתאגיד, וכן תקטין את הנזקים ששיבושים מסוג זה עלולים לגרום לרציפות הפעילות העסקית, לתפקוד תקין של מערכות התשלומים והסליקה, לאספקת שירותים בנקאיים לציבור, למוניטין, לרווחיות, למפקידים ולמחזיקים בניירות ערך של התאגיד הבנקאי.

תחולה

2. הוראות אלו יחולו על כל התאגידים הבנקאיים, כהגדרתם בהוראה זו. המפקח על הבנקים רשאי לקבוע הוראות מסוימות שונות מאלו המפורטות להלן, שיחולו על תאגידים מסוימים.

הגדרות

3. "תאגיד בנקאי" – כהגדרתו בחוק הבנקאות (רישוי), התשמ"א – 1981, לרבות תאגיד עזר שהוא חברת כרטיסי אשראי ו/או תאגיד עזר שהוגדר מפעל חיוני.
"מפעל חיוני" – כהגדרתו בחוק שירות עבודה בשעת חירום, התשכ"ז – 1967.  
"שעת חירום" – תקופת הפעלת מערך משק לשעת חירום בהתאם להחלטת הממשלה מס' 1716 מיום כ"ט בסיון התשמ"ו (6 ביולי 1986), להחלטת ממשלה מס' 1080 מיום ז' באדר א' התש"ס (13 בפברואר 2000) וכל החלטת ממשלה אחרת בעניין, הכרזה על מצב מיוחד בעורף לפי סעיף 9ג לחוק התגוננות אזרחית תשי"א- 1951 או הכרזת המפקח על שעת חירום.
"המשכיות עסקית" – (Business continuity) מצב בו עסק פועל ברציפות ללא הפרעות. המפקח על הבנקים: ניהול בנקאי תקין [3) [17/04 (
"ניהול המשכיות עסקית" ( Business Continuity – (Management גישה כלל-ארגונית הכוללת קווי מדיניות, תקנים ונהלים שתכליתם לוודא כי ניתן יהיה לבצע פעולות מסוימות או להשיבן לפעילות במועד, במקרה של שיבושים.
"תכנית המשכיות עסקית" ( Business – (Continuity Plan תכנית פעולה מקיפה בכתב, הקובעת מה הם הנהלים והמערכות הדרושים כדי לשמר את הרציפות העסקית או לשקם את פעילות התאגיד הבנקאי במקרה של שיבושים.
"עמידות" -(Resilience) היכולת של תאגיד בנקאי, לספוג את השלכותיו של שיבוש תפעולי משמעותי ולהמשיך ולנהל תהליכים ושירותים חיוניים.
"תהליך או שירות חיוני" Critical operation or ) – (service כל פעילות, פונקציה, תהליך או שירות שהם חיוניים לשמירה על יציבותו של התאגיד הבנקאי ואמון הציבור, להגנה על לקוחותיו ומפקידיו, ולתפקוד הרציף של מערכות תשלומים ככל שתלוי בתאגיד הבנקאי. הקביעה אם תהליך או שירות מסוים הנם "חיוניים" תלויה במאפייני הפעילות של התאגיד הבנקאי. בפרט, יחשבו כתהליכים או שירותים חיוניים, תהליכים שנדרשים לקיום רציפות תפקודית של אתרים קריטיים ומערכות תשלומים וסליקה.
"שיבוש תפעולי משמעותי" Major operational ) – (disruption שיבוש בעל השפעה חמורה על הפעילות העסקית הרגילה, הפוגע באזור גדול ובציבור המשולב בו מבחינה כלכלית כדוגמת מצב שבגינו הוכרזה שעת חירום. שיבוש תפעולי משמעותי משפיע בדרך כלל על התשתית הפיזית, ועלול להיגרם ממגוון רחב של אירועים כגון: מלחמה, מתקפות טרור, רעידות אדמה, אירועים הקשורים למזג האוויר, שביתה ומעשים זדוניים, או אירועים אחרים הגורמים נזק רחב היקף לתשתית הפיזית.
אירועים אחרים, כמו וירוסים טכנולוגיים, מגפות ואירועים ביולוגיים אחרים, לא בהכרח יגרמו נזק נרחב לתשתית הפיזית אך בכל זאת יכולים לגרום לשיבושים תפעוליים משמעותיים דרך השפעתם על פעילותה הרגילה של התשתית הפיזית בדרכים אחרות.
אירועים שהשפעתם היא הגדולה ביותר נקראים "אירועי קיצון". הם כרוכים באחד או יותר מההתרחשויות הבאות: הרס או פגיעה חמורה בתשתית פיזית ובמתקנים; אובדן או אי נגישות של כוח אדם; ונגישות מוגבלת לאזור שנפגע.
"תרחיש ייחוס" – מתאר אפשרי של אירועים ביטחוניים, תפעוליים, פנים תאגידיים, כלכליים או אחרים שבגינו צפוי להיגרם שיבוש תפעולי משמעותי לתאגיד הבנקאי ואשר מוצב כמתאר רלוונטי לתכנון מענה.
"אתר ראשי" – אתר המספק תהליך או שירות חיוני לכלל לקוחות התאגיד הבנקאי, למעט סניף.
"אתר חלופי" – (Alternate site) אתר המוחזק במצב של מוכנות ומיועד לשימוש באירוע שיצריך שמירה על ההמשכיות העסקית של התאגיד הבנקאי. המונח חל באופן שווה על מרחב עבודה או על דרישות טכנולוגיות.
"אתר קריטי" – אתר ראשי ואתר חלופי.
"אתר התאוששות מאסון" ( Disaster – (recovery site אתר חלופי המשמש לאישוש הנתונים ומערכות המידע באירועי חירום.
"התאוששות" – (Recovery) שיקום פעולות עסקיות מסוימות לאחר שחל שיבוש באותן פעולות, עד לרמה מספקת לצורך מילוי ההתחייבויות העסקיות.
"יעד התאוששות" (Recovery objective) – יעד, מוגדר מראש, להחזרת פעולות עסקיות ספציפיות והמערכות התומכות בהן עד לרמת שירות שהוגדרה (רמת התאוששות) ובמסגרת זמן שהוגדר מפרוץ השיבושים (זמן התאוששות).
"רמת התאוששות" – (Recovery level) מרכיב של יעד התאוששות. רמת ההתאוששות היא רמת השירות שהוגדרה מראש כיעד אשר יסופק בנוגע לפעולה עסקית מסוימת לאחר שחל שיבוש בפעילות.
"זמן התאוששות" – (Recovery time) מרכיב של יעד התאוששות. זמן התאוששות הוא פרק הזמן שהוגדר להחזרת פעולה עסקית מסוימת לפעילות. זמן התאוששות כולל שני מרכיבים: משך הזמן החולף מתחילת השיבושים ועד להפעלת תכנית ההמשכיות העסקית; וכן, משך הזמן מתחילת הפעלת תכנית ההמשכיות העסקית עד להתאוששות של פעולה עסקית מסוימת.
"נוהלי תקשורת" Communication ) – (protocols נהלים לתקשורת שהוסכמו מראש בין שני צדדים או יותר בתוך התאגיד הבנקאי או בין התאגיד הבנקאי לגורמים חיצוניים לו, המתארים, בין היתר, את אופי המידע שיש לחלוק עם גורמים פנימיים וחיצוניים שונים, ואת אופן הטיפול בסוגי מידע מסוימים (כגון מידע ציבורי ושאינו ציבורי).
"סניף גרעין" – סניף בעל מרחב מוגן מאושר על- ידי פקוד העורף, שנערך מבעוד מועד, לשעת חירום ואשר הוחלט לגביו מראש כי יפתח בשעת חירום.
"סניף נייד"- סניף הניתן לניוד ותפעול ממקומות שונים, לרבות מתוך רכב מתאים.
"היתר הנגיד"- היתר כללי לבנקים לפתיחת סניפים ולהעתקתם בחירום, מיום 11 ביולי 2010.  

אחריות הדירקטוריון וההנהלה הבכירה

4. על הדירקטוריון וההנהלה הבכירה של התאגיד הבנקאי להתייחס לסיכוני ההמשכיות העסקית ולבקרה עליהם כחלק ממסגרת העבודה הכוללת לניהול סיכונים בתאגיד הבנקאי, כלהלן:
(א) על הדירקטוריון לדאוג לכך שההנהלה הבכירה תקיים מסגרת עבודה כוללת לניהול המשכיות עסקית ולקיום פיקוח נאות עליה באופן רציף ושוטף.
(ב) על הדירקטוריון לאשר את מדיניות ניהול הסיכונים והבקרה של ההנהלה הבכירה בתחום המשכיות עסקית.
(ג) על ההנהלה הבכירה למנות מנהל המשכיות עסקית ולהגדיר את תחומי אחריותו וסמכויותיו.
(ד) על ההנהלה הבכירה למנות צוות לניהול משבר שיורכב, בין היתר, מחברי הנהלה בכירים. הצוות יכלול מקבלי החלטות מרכזיים וגורמים מקצועיים ממגוון חטיבות הבנק, כך שיובטח ניהול מיטיבי של המשבר ויכולת קבלת החלטות במצבי לחץ.
(ה) על ההנהלה הבכירה להקצות, באישור הדירקטוריון, משאבים נאותים ליישום והטמעת תכנית ההמשכיות העסקית בכלל פעילות התאגיד הבנקאי.
(ו) ההנהלה הבכירה תדון אחת לשנה, או בעת שינוי מהותי בסביבת הפעילות והסיכונים, ברענון ועדכון תכנית ההמשכיות העסקית, כך שזו תשקף את מאפייניו המשתנים של פעילות התאגיד הבנקאי, מורכבותו וגודלו.
(ז) הדירקטוריון וההנהלה הבכירה יגדירו מתכונת דיווח תקופתית שתאפשר לכל אחד מהם לקיים דיון באשר לאפקטיביות מסגרת העבודה לניהול המשכיות העסקית.

חלק א' – ניהול המשכיות עסקית

גיבוש מסגרת עבודה לניהול המשכיות עסקית

5. מסגרת העבודה לניהול המשכיות עסקית תגובש על בסיס כלל תאגידי ותשולב כמרכיב בתכנית ניהול הסיכונים של התאגיד הבנקאי. מסגרת העבודה לניהול המשכיות עסקית תתייחס בעיקרה לאפשרות של שיבוש תפעולי משמעותי בתאגיד הבנקאי, אולם תיקח בחשבון אפשרות לשיבוש כאמור בכלל המערכת הבנקאית. יישום בשעת חירום מפורט להלן במסגרת חלק ב' בדבר "רמות יעדי שירות חיוניים".
מסגרת העבודה, כאמור, תכלול לפחות את ארבעת הרכיבים הבאים:
(א) ניתוח השלכות עסקיות – תהליך דינמי לזיהוי תהליכים ושירותים חיוניים לרבות כאלו בעלי תלות הדדית, גורמי מפתח פנימיים וחיצוניים ורמות עמידות ֹ נאותות. בניתוח זה יש לבחון את התרחישים השונים, ולהעריך את הסיכונים ואת ההשפעה הפוטנציאלית על פעולות התאגיד ועל המוניטין שלו.
(ב) אסטרטגיית התאוששות – קובעת יעדי התאוששות וקדימויות על סמך ניתוח ההשלכות העסקיות. אסטרטגיית ההתאוששות מציבה, בין היתר, יעדים לרמת השירות שהארגון 1 ישאף לספק במקרה של שיבושים ואת המסגרת לחידוש הסופי של הפעולות העסקיות.  יעדי ההתאוששות צריכים לשקף את הסיכון שכל תאגיד בנקאי מייצג לתפקוד המערכת הפיננסית, ולהגדיר רמות התאוששות וזמני התאוששות צפויים לתהליך או שירות חיוני.
(ג) תכנית המשכיות עסקית – קובעת הנחיות מפורטות ליישום אסטרטגיית ההתאוששות. תכנית ההמשכיות העסקית מגדירה את התפקידים ואת תחומי האחריות לניהול שיבושים תפעוליים ומספקת הנחיות ברורות בנוגע להאצלת סמכויות במקרה של שיבושים המנטרלים אנשי מפתח. התכנית גם קובעת בבירור את הסמכויות לקבלת החלטות ומגדירה את הטריגרים להפעלתה. תכנית ההמשכיות העסקית תכלול את התהליכים והשירותים החיוניים, המשאבים והתשתיות בכל היחידות הרלבנטיות בתאגיד הבנקאי, וכן את פעילויות התאגיד הבנקאי בשלוחותיו בחו"ל.
(ד) ניטור סיכונים ומתודולוגית תרגול – תאגיד בנקאי יטמיע את תכנית ההמשכיות העסקית בקרב עובדיו, וכן ינטר וייתקף אותן באופן שוטף, בין היתר, באמצעות קביעת תכנית ניסויים ותרגולים. תכנית התרגול תגדיר את נושאי התרגול ויעדיו, את המתודולוגיה הנבחרת לתרגול, תדירותו, קיום גורם בקרה בלתי תלוי שיבחן את התרגול במהלכו, אופן הדיווח על תוצאות התרגול, תהליך זיהוי הפערים ביחס לתכנית המשכיות העסקית הקיימת ועדכונה בהתאם.

תכנית המשכיות עסקית

6. (א) תאגיד בנקאי יגבש תכנית להמשכיות עסקית שתבטיח את יכולתו לפעול באופן רציף להגביל את הפסדיו במקרה של הפרעה חמורה לעסקיו, ולאושש את פעילותו במקרה של אסון תאגיד בנקאי נדרש לבחון אלו תרחישי יחוס עלולים להשפיע על תהליכים ושירותים חיוניים בטווח הקצר, הבינוני והארוך, ולעדכנם בהתאם להתפתחויות.
(ב) תכנית ההמשכיות העסקית תספק הנחיות פעולה לתגובה מידית במקרה של שיבוש תפעולי משמעותי. התכנית תתייחס לכל התהליכים והשירותים החיוניים, אך תביא בחשבון גם את הצעדים הנדרשים בטווח הארוך להחזרת מלוא הפעילות לשגרה.
(ג) בעת גיבוש תכנית ההמשכיות העסקית, יתייחס התאגיד הבנקאי, למרכיבים הבאים, לפחות: ׁ
(1) המשאב האנושי – המשאב האנושי הינו מרכיב קריטי במימוש תכנית ההמשכיות העסקית. בהתבסס על ניתוח ההשלכות העסקיות, יוגדרו תחומי האחריות והסמכות, לחברי ההנהלה, צוותי עבודה, נותני שירותים פנימיים וחיצוניים, וגורמים אחרים. כמו כן, תבנה תכנית גיבוי לכ"א חיוני להפעלת התהליכים והשירותים החיוניים, לרבות במקרה של שביתה, ויוגדר צוות מקצועי לניהול משבר.
(2) תקשורת והסברה – תקשורת ברורה וסדירה במהלך שיבוש תפעולי משמעותי הכרחית לניהול המשבר ולשמירה על אמון הציבור. תכנית ההמשכיות העסקית תכלול נוהלי תקשורת, לניהול כל ממשקי התקשורת הרלבנטיים לתאגיד הבנקאי בקרות שיבוש תפעולי משמעותי, ובכלל זה בשעת חירום: עובדים, צוותי חירום, רשויות פיקוח, ספקים חיצוניים, לקוחות, אמצעי התקשורת (מדיה) בנקים קורספונדנטים ועוד. התכנית תכלול רשימות פרטי קשר עדכניות ונגישות ושיטות תקשורת שונות להפצת מידע בקרב לקוחות, ספקי שירות ורגולטורים, על מנת שאלה ידעו כיצד ליצור קשר עם המוסד גם במקרה שערוצי התקשורת הרגילים יושבתו. בנוסף, תאגיד בנקאי יגבש תכנית הסברה רשמית וישלבה בתכנית ההמשכיות העסקית.
(3) נושאים טכנולוגיים – תכנית ההמשכיות העסקית תתייחס לכל מרכיבי הטכנולוגיה הנדרשים לשמירת הרציפות העסקית ו/או לאישוש הפעילות.
(4) העתקת תהליך או שירות חיוני – תכנית המשכיות העסקית תיתן ביטוי להעתקת תהליך או שירות חיוני למיקום חדש.
(5) מערכות תשלומים וסליקה – תכנית ההמשכיות העסקית תכלול חלופות להמשך פעילות במקרה של שיבושים תפעוליים בהיבטים הבאים:
(א) משיכת מזומנים (גם ממכשירי ATM)
(ב) מתן שירות לביצוע תשלומים באמצעות הערוצים השונים של בנקאות בתקשורת וגם באמצעות הסניפים
(ג) תפקוד מערכות זהב ומסלקת השיקים, בדגש על פעילות מול CLS ;החלופות עשויות לכלול: קביעת מגבלות משיכה ללקוחות ללא אישור, הסכמי גיבוי עם צדדים שלישיים, הגדרת תהליכי עבודה ידניים וכמובן יצירת מערכות גיבוי להפעלה מידית באתר חלופי.
(6) צורכי מזומנים ונזילות – שיבושים תפעוליים משמעותיים, עלולים להגביר מחד את ביקוש הציבור למזומנים ומאידך להוביל למשבר פיננסי עם ההשלכות על נזילות. תכנית ההמשכיות העסקית צריכה להתייחס לכל היבטי המזומנים והנזילות, לרבות לקיום תכנית מימון נאותה ויעילה, הקובעת בבירור את האסטרטגיות לטיפול בקשיי נזילות.
(7) חלופות עבודה ידנית – תכנית ההמשכיות העסקית תכלול, בהתאם לעניין, נהלים לביצוע תהליכי עבודה ידניים, אשר אושרו מראש על ידי הנהלת התאגיד הבנקאי, כחלופה לתהליכים ושירותים חיוניים. בהקשר זה, תאגיד בנקאי ידאג לגיבוי רשומות מידע על חשבונות לקוחות (מספרי חשבון, כתובות, מצב חשבון, יתרות חשבון וכד').
(8) חיזוק מעגלי בקרה – במהלך שיבושים תפעוליים רמת הסיכונים עולה, בשל שינויים פוטנציאלים בסביבת העבודה, בכ"א, בציוד וכד'. בעת ניתוח ההשלכות העסקיות יש להעריך מחדש את הסיכונים, לגבש אסטרטגיה למניעתם ולמזעורם ולשלבה בתכנית ההמשכיות העסקית.
(9) תכנון עסקי וניהול פרויקטים – לצורך שימור ועדכון תכנית ההמשכיות עסקית, תאגיד בנקאי ישלב את שיקולי המשכיות עסקית בכל החלטה עסקית רלבנטית שיקבל לרבות בעת תכנון וניהול פרויקטים חדשים.
(10) מדיניות בקרת שינויים – מדיניות בקרת שינויים תיתן ביטוי לכך שבעת ביצוע שינויים במערכות תפעול, ביישומים או בתשתיות בסביבת הייצור, התומכים בתהליכים ושירותים חיוניים, כל עותקי הגיבוי של אותן מערכות יעודכנו גם הם. בנוסף, בעת יישום מערכת חדשה או משופרת המחייבת חומרה חדשה, קיבולת נוספת, או שינויים אחרים בטכנולוגיה, על התאגיד הבנקאי להבטיח שתכנית ההמשכיות העסקית תעודכן, במידת הצורך, וכי אתר ההתאוששות יוכל לתמוך בסביבת הייצור החדשה. מדיניות בקרת השינויים צריכה גם לאפשר ליישם שינויים במהירות במקרה של שיבוש תפעולי.
(11) גיבוי נתונים – תאגיד בנקאי יקבע נהלים לסנכרון נתונים, לצורך שמירתם באתר ההתאוששות מאסון, באופן מדויק ועדכני. תאגיד בנקאי יקבע נהלים לאחזור מידע, בפרק זמן סביר, למצב בו מתרחש אירוע כשל באתר הראשי בטרם גובו נתוני יום העסקים. תאגיד בנקאי נדרש לגבות את נתוניו על מנת להבטיח התאוששות גם במקרים בהם נפגע המידע באתר הראשי ובאתר ההתאוששות מאסון שלו בו זמנית.
(12) ניהול משברים – תאגיד בנקאי יגדיר בנהליו סמכות בכירה להכרזה על אירוע משברי ואת אחריות הצוות לניהול משבר ליישם את תכנית ההמשכיות העסקית בתוך התאגיד הבנקאי ולדאוג להתנהלות התאגיד הבנקאי מול גופים חיצוניים כגון: גורמי רגולציה, משרדי ממשלה וארגוני חירום.
(13) תקריות אבטחת מידע – תפותח מדיניות תגובה לתקריות אבטחת מידע אשר תשולב בצורה נאותה בתכנית ההמשכיות העסקית. תקרית אבטחה מתרחשת כאשר גורם בלתי מורשה מנסה או מצליח לחדור, להשתמש, לחבל, או להרוס מערכות מידע או נתונים של לקוחות. במקרה של חדירה בלתי מורשית, מערכות המחשב של התאגיד הבנקאי עלולות לקרוס ומידע סודי עלול להגיע לידיים לא נכונות. אלמנט מרכזי בתגובה לתקריות אבטחת מידע הוא חלוקת האחריות להערכה, לתגובה ולניהול של תקריות האבטחה ופיתוח קווים מנחים לעובדים בנוגע לנוהלי הסלמה ודיווח. ההנהלה הבכירה נדרשת לקבוע מי יהיה אחראי להכריז על תקרית, ומי אחראי לשחזר את מערכות המחשב שנפגעו מרגע שהתקרית הסתיימה. מי שמוטלת עליו אחריות זו צריך להיות בעל המומחיות הנדרשת כדי להגיב בדרך מהירה ונאותה.
(14) מדיניות "גישה מרחוק" – נהלי עבודה לגישה מרחוק יהיו חלק מתכנית ההמשכיות העסקית, שכן באירועי חירום מסוימים לא תתאפשר גישה למתקני הבנק, ולכן עלול לעלות צורך במתן גישה מרחוק לעובדים או נותני שירותים חיצוניים. מדיניות הגישה מרחוק תאושר ע"י ההנהלה הבכירה ותתייחס לסיכונים הכרוכים במדיניות ולקיום מנגנוני בקרה ואבטחת מידע הולמים.
(ד) תכנית ההמשכיות העסקית תוטמע בקרב העובדים החיוניים ותתורגל בכלל יחידות התאגיד הבנקאי בהתאם לתכנית שהוגדרה על ידו. תכנית ההטמעה, תסייע, בין היתר, בבחינת יכולת הפעלת תהליכים ושירותים חיוניים, במקרה של מחסור בעובדי מפתח.
(ה) כדי להבטיח יישום מוצלח של תכנית ההמשכיות העסקית, תאגיד בנקאי יבסס קשרי עבודה שוטפים עם גורמי קהילה (למשל, רשויות מקומיות) ומוסדות ממשל, לרבות גורמי תשתית לאומיים, לצורך תיאום ציפיות והערכה טובה יותר של הסיכונים. שילוב ציפיות אלו בתכנית ההמשכיות העסקית לצד ביצוע תרגולים משותפים, יחזקו את אפקטיביות תכנית ההמשכיות העסקית.

ביטוח

7. כיסוי ביטוחי הולם אינו מהווה תחליף לתכנית המשכיות עסקית אפקטיבית, אך יש בו לסייע בצמצום ההפסדים והנזקים כתוצאה משיבושים תפעוליים משמעותיים, ומכאן חשיבותו. בחירת הכיסוי הביטוחי תתבצע על בסיס תהליכי ניתוח ההשלכות העסקיות והערכת הסיכונים. לפחות, אחת לשנה התאגיד הבנקאי יבחן את נאותות הכיסוי הביטוחי בהתייחס לפרופיל הסיכון העדכני.

המשכיות עסקית של ספקים ונותני שירותים לתהליכים חיוניים

8. (א) תאגיד בנקאי יפעל להפחתת הסיכונים הנובעים מתלות בספקים ונותני שירותים לתהליכיו החיוניים.
(ב) תאגיד בנקאי ידאג שהסכם ההתקשרות עם הספק/נותן השירות מסדיר את חובת הספק/נותן השירות להעמיד שירותים לתאגיד הבנקאי גם בשעת חירום, בהתאם ליעדי השירות המוגדרים בהסכם.
(ג) תאגיד בנקאי יעריך את יכולת הספק/נותן השירות לקיים רציפות עסקית, כך שתימשך אספקת השירותים הרלבנטית לתאגיד הבנקאי בתרחישים שונים.
(ד) בהתאם להערכה כאמור בסעיף קטן (ג) לעיל, יכלול התאגיד הבנקאי בהסכם ההתקשרות עם הספק/נותן השירות, התייחסות לנושאים כגון אלו:
(1) אחריות הספק/נותן השירות לקיים תכנית המשכיות עסקית.
(2) זכות התאגיד הבנקאי לקבל את תכנית ההמשכיות העסקית של הספק/נותן השירות.
(3) זכות התאגיד הבנקאי להשתתף בתרגילי הספק/נותן השירות ו/או לקבל את ממצאי התרגול.
(4) זכות התאגיד הבנקאי לקיים ביקורת תקופתית על תכנית ההמשכיות העסקית של הספק/נותן השירות או לחילופין לקבל דוח ביקורת כאמור, מגורם מבקר אחר, שיהיה מקובל על התאגיד הבנקאי.
(ה) על אף האמור לעיל, אין חובה לכלול את סעיפים (ב) ו- (ד), בהסכמי התקשרות עם ספקי תשתיות לאומיות.

אתר חלופי

9. (א) תאגיד בנקאי ימקם את אתריו החלופיים, באופן שתוקטן ההסתברות לכך שהאתר החלופי והאתר הראשי יושפעו באופן דומה מתרחיש מסוים בשעת חירום, בכלל זה, השפעה על מרכיבי התשתית הפיזית (חשמל, תקשורת וכד') המשמשים את האתרים. במטרה להקטין את ההסתברות ששני האתרים יפגעו מאותו תרחיש, לרבות אפשרות של חסימת דרכי גישה, תאגיד בנקאי ידאג לכל הפחות לכך, שהאתר החלופי יהיה ממוקם מחוץ למרחב העירוני של האתר הראשי שלו.
(ב) תאגיד בנקאי יחליט על היקף הציוד והמידע שיוחזק באתר החלופי, כך שניתן יהיה להבטיח את המשך פעילותו העסקית, במקרה שאתרו הראשי יפגע באופן חמור.
(ג) בעת קביעת האתר החלופי תאגיד בנקאי יתייחס בין היתר לפרמטרים הבאים: גודל האתר, קיבולת העבודה בו והשירותים אשר נדרש לספקם בהתאם לרמות השירות שנקבעו, תוך התייחסות למשך השיבוש התפעולי (טווח קצר, בינוני וארוך). במקרים בהם, האתר החלופי ממוקם במתקן המשמש לפעילות יומיומית רגילה, יש לוודא כי הוא מסוגל להכיל פונקציות עסקיות נוספות כאשר מקום העסקים העיקרי נעשה בלתי שמיש.
(ד) האתר החלופי יהיה זמין באופן מידי (24 שעות ביממה, 7 ימים בשבוע) לעבודה וייקבעו בו תקני איוש כוח אדם.
(ה) תאגיד בנקאי ישאף להימנע ככל הניתן, מהפעלת אתר חלופי ע"י צד ג'. יחד עם זאת והיה ומפעיל האתר החלופי הינו צד ג', יוודא התאגיד הבנקאי כי לאותו צד ג' יש את כל היכולות לשמור על תחזוק האתר ומוכנותו לשעת חירום (ביצוע ביקורת, הסכם חוזי, וכד').
(ו) תאגיד בנקאי לא יחלוק אתר חלופי עם תאגיד בנקאי אחר, שאינו נמנה על הקבוצה הבנקאית, אם קיים חשש שהדבר יפגע במימוש תכנית ההמשכיות העסקית שלו.
(ז) תאגיד בנקאי יתחשב בסיכון המערכתי הטמון בריכוזיות גיאוגרפית של אתרי הבנק הקריטיים, עם אתרים קריטיים של תאגידים בנקאיים אחרים.
(ח) תאגיד בנקאי, שהוא חברת שירותים משותפת המהווה גורם מפתח בתפקוד המערכת הפיננסית, יקיים עבור שירותיו החיוניים, מערכות מידע משוכפלות בעלות זמינות גבוהה, כדוגמת Active- Active, בין אתרו הראשי לאתרו החלופי.

מיגון אתרים קריטיים

10. (א) תאגיד בנקאי יפעל למגן את אתריו הקריטיים מתוך כוונה לשמר המשכיות ורציפות במתן שירותים חיוניים, וכל זאת בהתאם לסטנדרטים מקצועיים מקובלים.
(ב) להלן עקרונות מנחים למיגון מינימלי של האתרים הקריטיים השונים:
(1) אתר ראשי או חלופי, לפחות אחד משניים, ימוגן בפני מלחמה קונבנציונאלית.
(2) אתר ראשי או חלופי, לפחות אחד משניים, יהיה עמיד בפני רעידת אדמה. במקרה בו אתר קריטי ראשי אינו עמיד בפני רעידת אדמה או ממוגן עבור מלחמה קונבנציונלית, ישמר התאגיד הבנקאי תכנית אופרטיבית להעמדת שירותים חיוניים באתר החלופי, בהתאם ליעדי השירות שנקבעו בסעיף 12.  
(3) מעבר לאמור בסעיף זה: כל אתר קריטי המשמש לעיבוד נתונים, ימוגן בפני מלחמה קונבנציונאלית.
(i) בחברת שירותים משותפת המהווה גורם מפתח בתפקוד המערכת הפיננסית,
(ii) כל אתר קריטי ימוגן בפני מלחמה קונבנציונלית ויהיה עמיד בפני רעידת אדמה. בעת הקמת אתר קריטי חדש, יש לדאוג למיגון מתאים לכלל תרחישי הייחוס,
(4) לאומיים ואחרים, ובפרט רמת ה- tier לא תפחת מ- 3 בגין אתרי מחשוב. חברת בת של תאגיד בנקאי, יכולה להסתמך על האתר הקריטי של חברת האם
(5) לצורך העמדת שירותים חיוניים בעת התממשות תרחיש ייחוס ובהתאם ליעדי השירות שנקבעו בסעיף 12. על הצדדים להסדיר זאת בהסכם מתאים ולבחון מידי תקופה את היתכנות מימושו. במקרים חריגים, תאגיד בנקאי הסבור כי חלק מהעקרונות למיגון מינימלי של האתרים הקריטיים אינם ישימים לגביו, רשאי לפנות אל המפקח על הבנקים על מנת לתאם תחולתם או דרך יישומם לגביו.
10א'. תאגיד בנקאי יפעל באופן מתמיד למיגון סניפיו בהתאם להנחיות פקוד העורף. ביקורת פנימית
11. (א) מסגרת העבודה הכוללת לניהול המשכיות עסקית תבוקר באופן תקופתי ע"י הביקורת הפנימית.
(ב) תכנית התרגול תסקר תקופתית ע"י הביקורת הפנימית, לצורך הערכת האפקטיביות שלה.
(ג) ממצאי התרגול של תכנית ההמשכיות העסקית ידווחו באופן קבוע לביקורת הפנימית.

חלק ב' – רמות יעדי שירות חיוניים

12. ככלל, המערכת הבנקאית תשאף לקיים רציפות עסקית מלאה ככל שניתן. יחד עם זאת, בשעת חירום ובמצב של שיבוש תפעולי משמעותי, עשויים להתרחש שיבושים תפעוליים משמעותיים (מערכתיים או ספציפיים לבנק) שיפגעו ביכולת לספק את מלוא השירותים. על כן, תאגיד בנקאי יערך להמשך פעילותו העסקית, על מנת להבטיח את המשך עמידתו ביעדי רמות השירות הבאים, לפחות:

(א) תוך שעות ספורות מתחילת השיבושים

(1) יעשה מאמץ להבטיח פעילות רציפה של מערכות התשלומים שלו, לרבות הממשקים שלו מול מערכת זהב.
(1א) יעשה מאמץ להבטיח פעילות רציפה של משיכת מזומנים ממכשירי בנק אוטומטיים כדלקמן:
i. תאגידים בנקאיים המפעילים שירותי משיכת מזומנים ממכשירי בנק אוטומטיים יהיו ערוכים בכל עת למילוי מחודש של המכשירים בשעת חירום, בכל הישובים, טרם שיתרוקנו.
ii. שירותי המיתוג והתקשורת יפעלו באופן שתתאפשר משיכת מזומנים ע"י הציבור מכל מכשירי הבנקים למשיכת מזומנים.
(2) יתאפשר שימוש בכרטיסי אשראי לצורך ביצוע רכישות בבתי עסק.
(3) הפעלת סניפי הבנקים תהיה בהתאם לסעיף 13 להוראה.
(4) נחתם הסדר בין התאגידים הבנקאיים, למשיכת מזומנים באמצעות שיקים גם ללקוחות של תאגידים בנקאיים אחרים, יערכו התאגידים הבנקאיים החתומים על ההסדר ליישמו בהנחיית המפקח.
(5) תאגיד בנקאי יספק לציבור מידע חיוני, באמצעות הפעלת מוקד מידע מתאים (למשל קו חם), שמספרו יפורסם לציבור.
(6) תאגיד בנקאי יערך להמשך מתן שירותים בנקאיים (מתן מידע וביצוע פעולות) ללקוחותיו, באמצעות ערוצים ישירים, כגון: בנקאות בתקשורת ומוקד טלפוני.
(7) תאגיד בנקאי יערך לחידוש פעילות הסליקה שלו מול כל המסלקות הרלבנטיות, בהתאם לכללים שנקבעו לכל מערכת. תאגיד בנקאי המתפעל מסלקה יפעל לחידוש פעילותה.

(ב) תוך יממה לכל היותר מתחילת השיבושים

(1) תאגיד בנקאי יערך להפעלת סניפים ניידים בשעת חירום, במקומות בהם לא יתאפשר מתן שירותים בסניפי הבנק ה"רגילים", כאמור בסעיף 15 להוראה.
(2) ביצוע העברות כספים מחו"ל ולחו"ל.
(3) חידוש פעילות מול גופים בשוק ההון (קופ"ג, קרנות השתלמות וכד') ומול גופים בחו"ל.

(ג) יעדי רמות שירות ליישום תוך יממות ספורות לכל היותר מתחילת השיבושים

(1) ריקון תיבות שירות בסניפים שאינם פעילים בשעת חירום.
(2) התאגידים הבנקאיים יהיו ערוכים להפעלת תכנית הקלות, לאוכלוסייה שצפויה להיפגע עקב שעת החירום, כגון: מגויסים, בני משפחתם, ובעלי עסקים. חלק מההסדרים יהיו פרי מדיניות התאגיד הבנקאי וחלק יהיו באישור המפקח, כאמור בסעיף 16 להוראה.

פתיחת סניפים בשעת חירום

13. (א) מדיניות פתיחת הסניפים בשעת חרום תשאף לפתיחת כל הסניפים, בהכוונת הפיקוח על הבנקים ובכפוף להנחיות כוחות הביטחון, בכלל זה פיקוד העורף.
(ב) מתוך סניפי הבנק יגדיר התאגיד הבנקאי סניפי "גרעין" בהיקף מינימאלי של %25 מהמספר הכולל של הסניפים בתאגיד תוך שהוא מוודא פיזור גיאוגרפי נאות של סניפי ה"גרעין".
(ג) תאגיד בנקאי ישאף להפעלת הסניפים שהוגדרו כסניפי "גרעין" מיד בתחילת שעת החרום. הפעלת סניף משמעה לכל הפחות מתן שירות באמצעות המכונות לשירות עצמי של הסניף או פתיחת הסניף לקהל. תאגיד בנקאי ימשיך, לספק שירותים בנקאיים באמצעים תחליפיים, ככל שהדבר אפשרי בנסיבות העניין, גם אם חלק מהסניפים לא יפתחו בשל מצב החירום.
(ד) השירות הבנקאי בסניפים שיפעלו בשעת חירום יכלול, לכל הפחות, מתן מידע ללקוחות על מצב חשבונותיהם וביצוע פעולות בנקאיות בסיסיות, כגון: משיכה והפקדת מזומנים, משיכה והפקדת שיקים והעברות בין בנקאיות ופנים בנקאיות.

העתקת סניפים בשעת חירום

(א) בכפוף להכרזת המפקח על הבנקים על שעת חירום לעניין הפעלת היתר הנגיד (כמפורט 14. בנספח א'), כולו או חלקו, רשאי תאגיד בנקאי:
(1) להעתיק סניף באופן זמני למקום אחר, לרבות שטח שיוקצה לו ע"י בנק אחר, ובלבד שעובדי התאגיד הבנקאי ימשיכו לתפעל את הסניף המועתק.
(2) לנהל עסקים בסניפים ניידים, כאמור בסעיף 15 להוראה.
(3) לתת שירותים בנקאיים בסיסיים ללקוחותיו באמצעות סניפים של בנקים אחרים או של בנק הדואר, בכפוף להסדרים שיאושרו מראש ע"י המפקח.
(ב) תאגיד בנקאי ימסור למפקח הודעה בכתב על העתקה זמנית של סניף או הפעלת סניף נייד.

סניפים ניידים

15. (א) כל קבוצה בנקאית או בנק עצמאי, המפעילים רשת סינוף של 30 סניפים לפחות, יערכו להפעלת סניפים ניידים בשעת חירום, בהתאם לנסיבות שיתהוו.
(ב) המפתח המינימאלי לקביעת כמות הסניפים הניידים יהיה בערך של יחידה אחת לכל 50 סניפים, שברשות התאגיד הבנקאי על בסיס קבוצתי, במספרים עגולים.
(ג) תאגיד בנקאי יקבע במדיניות כמה מתוך הסניפים הניידים יהיו כאלה שיפעלו מתוך רכב מתאים.
(ד) בהתאם לסמכות המפקח על הבנקים בסעיף 5.2 להיתר הנגיד, תאגיד בנקאי יערך להפעלת השירותים הבנקאיים הבאים בסניף נייד:
(1) משיכת מזומנים, גם ע"י לקוחות בנקים אחרים;
(2) הפקדת מזומנים;
(3) משיכת והפקדת שיקים;
(4) הפעלת תיבות שירות;
(5) העברה מחשבון לחשבון.
(ה) תאגיד בנקאי המעוניין להציע שירותים בנקאיים נוספים יעשה זאת רק לאחר קבלת אישור המפקח על הבנקים מראש.
(ו) תאגיד הבנקאי ידאג לתשתיות הרלבנטיות לתפעול הסניף הנייד.
(ז) תאגיד בנקאי יעריך את הסיכונים הכרוכים בהפעלת הסניף הנייד וידאג לקיום נוהל עבודה, אמצעי בקרה ואבטחת מידע הולמים.

הקלות לאוכלוסייה

16. (א) במסגרת ההיערכות לשעת חירום נוצר הצורך במתן הקלות זמניות בהוראות ניהול בנקאי תקין, במטרה להקל על האוכלוסייה בקבלת שירותים בנקאיים בעתות חירום.
(ב) ההקלות המפורטות בנספח ב' יכנסו לתוקפן אך ורק עם הכרזת המפקח על הבנקים על הפעלתן. עיתוי הפעלת כל הקלה וזמן הימשכותה עשוי להשתנות מהקלה להקלה, כמו גם האזור הגיאוגרפי לגביו תחול ההקלה. פרמטרים אלו יקבלו ביטוי בעת הכרזת המפקח על הבנקים על כניסת ההקלה לתוקף.

זיהוי חסרי תיעוד רשמי בנוהל מקל

17. (א) תאגיד בנקאי יפתח כלים לזיהוי לקוחותיו, בהעדר תיעוד רשמי, תוך קיום בקרות הולמות והגבלת החשיפה לסיכון.
(ב) הפעלת נוהל עבודה פנימי לזיהוי לקוחות חסרי תיעוד רשמי, בשעת חירום, תעשה לאחר קבלת אישור המפקח על הבנקים.

נספח ב'

הקלות אפשריות לאוכלוסייה בשעת חירום

להלן פירוט הקלות אפשריות לאוכלוסייה, שיכנסו לתוקפן עם הכרזת המפקח על שעת חירום לעניין הפעלת ההקלות. מוצע לקרוא את ההקלות עם נוסח ההוראות המקורי.

1. הוראת נ.ב.ת 325: ניהול מסגרות אשראי בחשבונות עובר ושב

א. על אף האמור בסעיף 8 להוראה, לעניין הגבלת סכומים, בעת הכרזת המפקח על שעת חירום, ולכל היותר עד 30 ימים לאחר ביטול ההכרזה, תאגיד בנקאי יהיה רשאי שלא ליישם את האמור בהוראה על חריגות בסכומים שלא יעלו על הסכום שקבע המפקח בהודעתו.

2. הוראות בנקאות בתקשורת

א. הקלה בהצטרפות מרחוק לשירותי בנקאות בתקשורת, וכן הקלה באמצעי זיהוי ואימות אישיים הנדרשים לצורך ביצוע פעולות בבנקאות בתקשורת בתקופת הכרזת המפקח על שעת חירום. הקלה כאמור היא לתקופת הכרזת המפקח על שעת חירום, ועם סיום תקופת ההכרזה יושלמו ההליכים מול הלקוחות שהצטרפו לשירותי בנקאות בתקשורת בתקופה זו.
ב. תאגיד בנקאי יעריך מראש את הסיכונים הקשורים להפעלת ההליך המקל ובהתאם לכך יקבע בקרות מפצות כגון, הגבלת סכומים, משלוח SMS אחרי ביצוע פעולה וכד'.
ג. על אף האמור בסעיף 7 בהוראה 420 בתקופת הכרזת המפקח על שעת חירום, תאגיד בנקאי רשאי שלא לשלוח הודעות בדואר ללקוחות שביקשו לקבל הודעות בערוצי תקשורת, ובלבד שעם סיום שעת החירום, ישלח את ההודעות כמתחייב בהוראה ובכללי גילוי נאות; למען הסר ספק, הקלה זו אינה חלה על החובה למשלוח הודעה במסירה אישית לפי חוק הבנקאות (שירות ללקוח) (סעיפים 5א1 ו- 17א).
ד. על אף האמור בסעיף 8) ב) להוראה 439, בתקופת הכרזת המפקח על שעת חירום, תאגיד בנקאי רשאי לבצע ביטול הרשאה לחיוב חשבון גם בהוראה טלפונית.

3. הוראת ניהול בנקאי תקין 358: ניהול עסקים מחוץ למשרדי התאגיד הבנקאי

א. על אף האמור בסעיף 3 להוראה, בתקופת הכרזת המפקח על שעת חירום, לעניין הפעלת ההיתר הכללי של הנגיד לבנקים לפתיחת סניפים ולהעתקתם בעת חירום, רשאי תאגיד בנקאי לפעול באופן מקל כאמור בהכרזת המפקח.
[1]
:בנקים:חוזרי בנק ישראל