המפקח על הבנקים פרסם הוראה רחבה ומקיפה (נב"ת – נוהל בנקאי תקין – 364) העוסקת בניהול טכנולוגיית המידע, אבטחת המידע והגנת הסייבר. ההוראה מחליפה שלוש הוראות ותיקות שעסקו בתחומים אלו – נב"ת 357, 361 ו- 363. פרסום ההוראה משקף את התאמת המערכת הבנקאית להתגברות באיומי הסייבר והפרטיות בשנים האחרונות, הרוויות שינויים טכנולוגיים.
ההוראה החדשה יוצרת מערכת הנחיות אחידה לחובות הבנקים לניהול סיכוני הסייבר ואבטחת המידע, ונוקטת בלשון כללית יותר מההוראות שהחליפה, כך שתהיה ניטרלית מבחינה טכנולוגית ותתאים לכל סוגי המערכות האפשריות. כך היא מותירה בידי הבנקים גמישות לנהל את הסיכון בהתאם לטכנולוגיות שיבחרו ליישם.
הנב"ת מחולקת למספר חלקים ובהם הגדרות לממשל התאגידי ומסגרת ניהול הסיכונים, ניהול סיכוני טכנולוגיית המידע, ניהול סיכוני אבטחת המידע, ניהול אירועים ועוד.
החלק הראשון מפרט את חובות הבנקים, לרבות מינויים נדרשים, חלוקת אחריות בין האורגנים השונים, אופן המימוש של מנגנוני ניהול הסיכונים והתייחסות לגורם האנושי. למשל, דירקטוריון הבנק נדרש להתוות אסטרטגיית ומדיניות טכנולוגיית מידע, לייחד דיונים למרכיביה השונים לרבות אבטחת המידע בבנק, לפקח על מימוש המדיניות, ולנטר ולמדוד את האפקטיביות שלה. ההנהלה הבכירה אחראית בין השאר לקביעת ומימוש עקרונות הגנה בסייבר ואבטחת מידע, לכתוב נהלים מתאימים, ולדווח לדירקטוריון בחריגות ושינויים מהותיים בנכסי המידע או בסביבה העסקית. תחומי אחריות מוגדרים גם למנהל טכנולוגיית המידע ומנהל הגנת הסייבר ואבטחת המידע (שהבנק נדרש למנות), מנהלי קווי העסקים, הפונקציה לניהול סיכונים והביקורת הפנימית בבנק.
ביחס לגורם האנושי, הנב"ת מחייב את הבנקים לבצע תכנית הדרכות תקופתית בנושאי איומי הסייבר, אבטחת מידע והטכנולוגיות הרלוונטיות לכל עובדיהם, בהרחבה משמעותית לעומת החובות המוגדרות בתקנות אבטחת המידע.
שני החלקים הבאים מפרטים מתודולוגיה לניהול סיכונים בטכנולוגיית המידע וניהול סיכוני אבטחת המידע והגנת הסייבר והנחיות לאופן ביצוע פרויקטים לשדרוג ופיתוח טכנולוגיות המידע. הנב"ת מחייבת מיפוי וניטור מערכות הבנק ומגדירה תהליכים תפעוליים להפחתת כשלים בהן. הבנקים נדרשים לתחזק את המערכות שברשותם, לעדכן אותן ולהימנע משימוש במערכות ללא תמיכה, לגבות את נכסי המידע ואת יכולת שחזורם, לנהל את קיבולת וביצועי המערכות, ולממש ביקורת אוטומטית על גישה למערכות המידע והשימוש בהן. ביחס לאבטחת מידע, כוללת הנב"ת רשימה ארוכה של עקרונות שהבנקים נדרשים לכלול במדיניות אבטחת המידע, לרבות תהליכים ייעודיים לניטור, בקרה והערכת פגיעויות ואיומים כגון על תצורת המערכות ושינויים בה, הצפנת נתונים, ניהול וזיהוי גישת משתמשים ושירותי צד ג'.
הנב"ת מחייב עוד ניטור מאויש רציף על מערכות הבנק, בחינה מתמשכת של האיומים והפרקטיקות לאיתורם, וקביעת מסגרת לניהול אירועים ובעיות. הבנקים נדרשים לקבוע נהלים לתפעול אירועים, כגון באמצעות הקמת מערך דיווח פנימי, ולתרגל אותם באופן שוטף. ביחס לעבודה מול צדדים שלישיים, ההוראה מחליפה את ההוראה שעסקה בניהול סיכוני סייבר בשרשרת האספקה באופן מפורט. כעת, ההנחיה האחידה לכלל חובות הסייבר ואבטחת המידע של הבנקים כוללת לכל אורכה הנחיות מובנות לעבודה עם צדדים שלישיים וקבלני חוץ, בפרט כאשר אלו מנהלים נכסי המידע וההגנה בסייבר של הבנק.
לאור השינויים הרבים שהנב"ת מגדירה באופן התנהלותם הרצוי של הבנקים ובאסדרה העתידית בתחום, המפקח על הבנקים צפוי לפרסם התאמות להוראות נוספות.