⚠ נב"ת 364 נכנס לתוקף 18 במאי 2026 — 6 שבועות נותרו
⏰ נכנס לתוקף 18 במאי 2026 אפריל 2026 · קריאה של 7 דקות

נב"ת 364: המדריך המלא להגנת מידע בבנקים

מה דורשת ההוראה החדשה, אילו טכנולוגיות עוזרות לעמוד בה — ואיך לבחור פתרון שיחזיק גם מחר

6 שבועות
עד כניסת נב"ת 364 לתוקף — 18 במאי 2026
תוכן עניינים
  1. 1. מה זה נב"ת 364?
  2. 2. מה הוא מחייב — 6 תחומים מרכזיים
  3. 3. שכבות הגנה: אילו טכנולוגיות עוזרות?
  4. 4. איך בוחרים טכנולוגיה נכון — לא רק להיום
  5. 5. ביקורת: מה הרגולטור בודק ראשון
  6. 6. שאלות נפוצות

מה זה נב"ת 364?

ביום 18 בנובמבר 2024 פרסם הפיקוח על הבנקים את הוראת ניהול בנקאי תקין מספר 364 — "ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר". ההוראה נכנסת לתוקף ב-18 במאי 2026 ומחליפה שלוש הוראות קיימות: נב"ת 357 (ניהול טכנולוגיית מידע), נב"ת 361 (הגנת סייבר) ונב"ת 363 (סיכוני סייבר בשרשרת אספקה).

במקום שלוש מסגרות נפרדות, נב"ת 364 יוצר מסגרת אחידה, כוללת וגמישה. הגישה של הפיקוח היא טכנולוגית-ניטרלית במכוון: ההוראה לא מכתיבה פתרונות ספציפיים, אלא מגדירה את רמת ההגנה הנדרשת — ומשאירה לכל בנק את ההחלטה כיצד להגיע אליה.

למי זה רלוונטי? לכל התאגידים הבנקאיים בישראל — ובנוסף, לכל ספק צד שלישי שיש לו גישה לנכסי מידע של בנק. אם אתם עובדים עם בנק, ייתכן שגם אתם מושפעים.

מה הוא מחייב — 6 תחומים מרכזיים

תחום א
ממשל תאגידי וניהול סיכונים

הדירקטוריון אחראי אקטיבית. לא מספיק לאשר מדיניות — צריך לפקח ולמדוד אפקטיביות.

תחום ב
ניהול סיכוני טכנולוגיית מידע

מיפוי נכסים, ניטור שוטף, עדכון מערכות, גיבויים ויכולת שחזור מוגדרת.

תחום ג
ניהול סיכוני אבטחת מידע וסייבר

הצפנה, ניהול הרשאות, ניטור רציף ומאויש, בחינת פגיעויות ואיומים.

תחום ד
ניהול אירועים

נהלים ברורים לזיהוי, תגובה ודיווח. תרגולים שוטפים. מערך דיווח פנימי מוגדר.

תחום ה
המשכיות עסקית וחוסן תפעולי

תוכנית המשכיות עסקית, יכולת שחזור מהירה, תרגול תקופתי של תרחישי כשל.

תחום ו
ניהול סיכונים מול צדדים שלישיים

ספקים עם גישה לנכסי מידע כפופים לדרישות. הבנק אחראי על ספקיו.

שכבות הגנה: אילו טכנולוגיות עוזרות?

עמידה בנב"ת 364 אינה פתרון יחיד — היא ארכיטקטורה של שכבות. כל שכבה מגינה על וקטור אחר של סיכון. הנה המפה:

☁️
Cloud DLP

מגן על מידע שנמצא בענן ועל שיתופו. מונע העברת קבצים רגישים לשירותים חיצוניים, Gmail אישי, Dropbox וכדומה. יעיל מאוד לאיומי Insider שמנסים להוציא מידע דיגיטלית.

💻
Endpoint DLP

מגן על נתונים בעמדת הקצה — חוסם העתקה ל-USB, הדפסה לא מורשית, שמירה למיקומים לא מאושרים. עובד גם כשהעמדה לא מחוברת לרשת.

🔐
הצפנה וניהול הרשאות (IAM)

מבטיח שרק מי שצריך מגיע למה שצריך. הצפנת דיסק, הצפנת תקשורת, זיהוי רב-שלבי. בסיס שעליו כל שאר ההגנות נשענות.

📊
SIEM / SOC — ניטור רציף

אוסף לוגים מכל המערכות, מזהה אנומליות בזמן אמת ומתריע על אירועים חריגים. נב"ת 364 מחייב ניטור מאויש — לא רק אוטומטי.

👁️
הגנה ויזואלית — טכנולוגיה מתפתחת

כל השכבות הקודמות מגינות על המידע הדיגיטלי. אבל מה קורה כשעובד מצלם את המסך עם הטלפון? כשאדם לא מורשה צופה מעבר לכתפו? כשעמדה נשארת פתוחה ללא מפעיל?

טכנולוגיות הגנה ויזואלית — כמו ScreenStop — משתמשות בראיית מחשב מבוססת AI כדי לזהות בזמן אמת את האיומים הפיזיים על המסך: זיהוי טלפון מול מסך, זיהוי מבט לא מורשה, נעילה אוטומטית של עמדה עזובה ואימות רציף של הנוכחות הנכונה מול המסך.

הפער שנותר: ארגון שהשקיע בכל שכבה דיגיטלית עדיין חשוף אם מידע מוצג על המסך ואין הגנה על הממשק הפיזי. זה הוקטור שהכי קל לנצל — ולא צריך שום גישה למערכות.

איך בוחרים טכנולוגיה נכון — לא רק להיום

טעות נפוצה: בוחרים פתרון שעונה על דרישות הרגולציה הנוכחית — ומגלים שנתיים מאוחר יותר שהוא לא מכסה את האיומים החדשים.

נב"ת 364 נכתב ב-2024. מה יהיה נב"ת 365 ב-2027? לפי כיוון האיומים שאנחנו רואים כבר היום, הסביר ביותר:

האיומים שכבר קורים היום ועדיין לא מוסדרים:

• עובדים שמצלמים מסכים ומזינים מידע רגיש לכלי AI חיצוניים (ChatGPT, Gemini)
• מידע בנקאי שמשמש לאימון מודלים חיצוניים ללא ידיעת הארגון
• Deepfakes שנוצרים ממידע ויזואלי שנצפה או צולם
• הגדרת "דליפה ויזואלית" כאירוע אבטחה מוסדר

שאלו כל ספק שאתם שוקלים:

"איך הפתרון שלכם מתמודד עם איום שלא היה קיים כשכתבתם את חוקי הזיהוי שלכם?"

פתרון מבוסס חוקים סטטיים לא יצליח להתעדכן. פתרון שבנוי על AI ולמידת מכונה — יתאים עצמו. זה ההבדל בין פתרון שישרת אתכם לשנה לבין פתרון שישרת אתכם לחמש שנים.

ביקורת: מה הרגולטור בודק ראשון

כשמבקר מטעם בנק ישראל מגיע לביקורת, הדבר הראשון שהוא מבקש אינו מסמך מדיניות. זה לא תרשים ארכיטקטורה. זה לא רשימת ספקים.

הדבר הראשון: "תראה לי את הלוגים."

לכל אירוע אבטחה — קטן כגדול — חייב להיות תיעוד מלא:

מה
מה בדיוק זוהה? איזה אירוע, איזה נכס מידע היה מעורב?
מתי
חותמת זמן מדויקת. לא "בערך בצהריים" — timestamp מדויק.
מה נעשה
איזו פעולה ננקטה אוטומטית? מי קיבל התראה? מה הייתה התגובה?
מי אחראי
מי הוא בעל התפקיד שאחראי על הטיפול? האם טופל בזמן הנדרש?
הבעיה עם שכבת ההגנה הויזואלית: ארגונים שמשתמשים בפתרונות מסורתיים (שומר מסך, נעילה ידנית) אין להם שום לוג על אירועי חשיפה ויזואלית. כלומר — לא רק שהם לא מוגנים, הם גם לא יכולים להוכיח לרגולטור שהם מוגנים.
הפתרון הנכון: כל שכבת הגנה — כולל הויזואלית — חייבת לייצר לוגים מובנים ומוכנים לביקורת. לא מספיק שהמערכת תפקדה. צריך להוכיח שהיא תפקדה.
שאלות נפוצות

נב"ת 364 — שאלות נפוצות

מתי נכנס נב"ת 364 לתוקף?

נב"ת 364 נכנס לתוקף ב-18 במאי 2026. עד למועד זה יבוטלו הוראות נב"ת 357, 361 ו-363.

על מי חל נב"ת 364?

על כלל התאגידים הבנקאיים בישראל. בנוסף, חלק מדרישותיו חלות על ספקי צד שלישי שיש להם גישה לנכסי מידע של הבנק.

מה ההבדל בין נב"ת 364 לנב"ת 361?

נב"ת 361 עסק בהגנת סייבר בלבד. נב"ת 364 הוא מסגרת כוללת ומאוחדת שמשלבת ניהול IT, אבטחת מידע, הגנת סייבר, ניהול אירועים, המשכיות עסקית וסיכוני שרשרת אספקה — הכל תחת קורת גג אחת.

האם ספקים צד ג' חייבים לעמוד בנב"ת 364?

כן, חלקית. ספקים שיש להם גישה לנכסי מידע של תאגיד בנקאי כפופים לחלק מדרישות ההוראה. הבנקים מחויבים לוודא שספקיהם עומדים בסטנדרטים הנדרשים.

מה בודק הרגולטור ראשון בביקורת?

הדבר הראשון שמבקשים מבקרי בנק ישראל הוא לוגים. לכל אירוע אבטחה חייבת להיות תיעוד: מה זוהה, מתי, מה הפעולה שננקטה ומי היה אחראי. ארגונים ללא לוגים מלאים — לא עומדים בדרישות, גם אם ההגנה עצמה פועלת.

נשארתם עם שאלות על השכבה הויזואלית?

ScreenStop מגינה על מה שמוצג על המסך

ומייצרת לוגים מוכנים לביקורת על כל אירוע — בדיוק מה שהרגולטור מחפש.

בקשו דמו