החשש כי עבודה עם ספקים חיצוניים תחשוף את הבנקים לתקיפות סייבר עקיפות, הוביל היום את הפיקוח על הבנקים בישראל להוציא שורה חדשה של הנחיות בנושא.
בהודעה לתקשורת נכתב כי "בשנים האחרונות גדל מספר אירועי הסייבר המתרחשים בארגונים פיננסיים בעולם ובישראל. אירועים אלו מתאפיינים ברובם בגרימה של נזק רב ובשיטות תקיפה מתוחכמות וחדשניות, שמקורן הוא לעתים בגורמים חיצוניים המספקים שירותים שונים לתאגידים הבנקאיים והם נכללים בשרשרת האספקה (Supply Chain) של התאגידים הבנקאיים. לפיכך, התאגיד הבנקאי נדרש לקבוע את הפעולות הנחוצות כדי לוודא שספקי השירותים החיצוניים המהותיים, נוקטים באמצעים הנדרשים להפחתת חשיפת התאגיד הבנקאי לסיכוני סייבר".
בהמשך מפורט כי "על פי ההוראה, תאגיד בנקאי נדרש לקבוע עקרונות להתחייבויותיהם של ספקים חיצוניים מהותיים בנושא ניהול סיכוני סייבר, וכן לוודא עמידה בעקרונות אלו. בנוסף, מפורטת רשימה של הגנות, שאת הצורך בשילובן נדרש התאגיד הבנקאי לשקול במסגרת הסכם ההתקשרות מול הספק החיצוני (למשל, קביעת אופן מחיקת הנתונים של התאגיד הבנקאי המאוחסנים אצל הספק, לאחר סיום ההתקשרות ביניהם)".
עוד מצוין כי "ההוראה מגדירה חובת דיווח של הגורמים הרלוונטיים בתאגיד הבנקאי להנהלה כשעולה חשש כי הספק חושף את התאגיד לסיכוני סייבר משמעותיים. על בסיס דיווח זה והערכת הסיכון, על ההנהלה יהיה לשקול ולהחליט בדבר אופן המשך ההתקשרות עם הספק החיצוני (כדוגמת צמצום הפעילות, הטמעת בקרות מפצות בתאגיד הבנקאי, הפסקת ההתקשרות, וכדומה)".
המפקחת על הבנקים, ד"ר חדוה בר אמרה בהקשר להוראה החדשה כי "בנקים פועלים יותר ויותר באמצעות ספקי שירות וגופים חיצוניים שונים, כגון ספקים הנותנים שירותי מסחר בשוק ההון ושירותי טכנולוגיה לבנק, המהווים חלק מ'שרשרת האספקה' של הבנק. אנו מגדירים להנהלות הבנקים את הציפיות הפיקוחיות שלנו בהתייחס לסטנדרטים שעליהם לדרוש מגופים עימם הם מתקשרים לצורך קבלת שירותים שונים, על מנת ש"החוליה החלשה" בשרשרת האספקה לא תחשוף אותם לסיכוני סייבר וזליגת מידע".