לאחרונה פורסם תזכיר חוק חדש המבקש לעגן מסגרת אסדרה ופיקוח לאומית בתחום הגנת הסייבר, במטרה לחזק את החוסן הלאומי ולהבטיח רציפות תפקודית של שירותים חיוניים במשק – בדגש על ארגונים חיוניים וספקי שירותים דיגיטליים ושירותי אחסון.
תזכיר החוק פתוח להערות הציבור עד לתאריך 12.2.2026.
להלן עיקרי תזכיר החוק:
1. הגדרה רחבה של "ארגון חיוני"
החוק מציע לקבוע מי ייחשב "ארגון חיוני" לפי תבחינים מגזריים, לצד מנגנון חריגים (הכללה או החרגה בהחלטה מנומקת ושימוע).
בתמצית, ברשימת הארגונים החיוניים מנויים ארגונים מן המגזרים הבאים:
- תקשורת: ספק מורשה לפי חוק התקשורת (בזק ושידורים) עם סף פעילות משמעותי (200,000 מנויים או 200,000 מקבלי שירות בזק בהתאם לתנאים).
- אנרגיה ומים: ייצור חשמל מעל 100 מגוואט, גז טבעי (בעל רישיון חלוקה/גז דחוס), דלק וגפ"מ בהיקפי משיכה/יבוא גבוהים, וכן תאגידי מים/מתקני שפכים/התפלה בהיקפים שנקבעו.
- בריאות, תחבורה, רשויות מקומיות, מזון: בתי חולים כלליים וקופות חולים; מפעילי תחבורה ציבורית/אווירית/ימית ותשתיות דרך; רשויות מקומיות מעל 90,000 תושבים; גופי מזון עם נתח שוק/לוגיסטיקה מהותיים;
- ספקי שירותים דיגיטליים/אחסון: מדובר ברשימה נרחבת של שירותים דיגיטליים או שירותי אחסון, הניתנים על ידי ספקים העומדים באחד מהתנאים מהבאים – מחזור כספי של 40 מלש"ח ומעלה, מעסיקים 50 עובדים או יותר, או מספקים שירותים לגופים ממשלתיים/מונחים.
גם גופים ממשלתיים (משרדי ממשלה ויחידות סמך) ייכללו כארגונים חיוניים (למעט גופי בטחון מסוימים).
2. חובת עמידה ב"רמת הגנת סייבר" בסיסית
ארגון חיוני יידרש לעמוד בדרישות בסיסיות מפורטות (בהתאם למפורט בתוספת הרביעית), באמצעות עמידה בהוראות הרלוונטיות באחד התקנים המוכרים (לרבות 27001/27002 ISO או NIST)
רגולטורים מגזריים יוכלו לקבוע דרישות נוספות, וגופים ממשלתיים עשויים להיות כפופים להוראות משלימות. יצוין כי כבר כיום קיימות דרישות להגנת סייבר מצד רגולטוריים מגזריים כגון המפקח על הבנקים בהוראות הנב"ת, רשות ני"ע ועוד.
קיימת גם סמכות חריגה לראש מערך הסייבר (באישור ראש הממשלה) להורות לארגונים חיוניים על אמצעים דחופים למניעת סיכון משמעותי.
3. חובת דיווח מיידית על תקיפת סייבר "משמעותית"
ארגון חיוני יצטרך לדווח מיידית למערך הסייבר הלאומי ולרשות המוסמכת על תקיפה משמעותית, ולמסור גם דיווח מסכם לאחר הטיפול.
4. סמכויות פיקוח ומענה לאירועי סייבר חמורים
מוצעות סמכויות דרישת מידע ומסמכים (כולל עותק מחומר מחשב) וכן סמכות כניסה למקום לצרכי פיקוח.
5. אכיפה: עיצומים כספיים ואף עבירות פליליות
תזכיר החוק כולל מנגנון עיצומים כספיים משמעותיים על הפרות שונות, לרבות על אי עמידה בדרישות מרכזיות.
במקרים מסוימים נקבעו גם עבירות פליליות.
6. לוחות זמנים
תחילת החוק המוצעת: 3 חודשים מיום פרסומו, עם דחייה של 12 חודשים לחלק מהחובות המרכזיות (כגון רמת ההגנה, דיווחים מסוימים וסמכויות התמודדות עם תקיפה חמורה).
גם אם החוק טרם התקבל – מומלץ להיערך כבר עכשיו:
- מוצע לבחון האם הארגון עשוי להיכנס להגדרת "ארגון חיוני" או "ספק שירותים דיגיטליים/אחסון" לפי התבחינים המוצעים.
- מוצע לאמוד פערי התאמה בארגון לדרישות “רמת ההגנה” ולתקינה הרלוונטית.
- מוצע לעדכן נהלי ניהול אירוע, דיווחים ושרשרת אספקה.
- מוצע להיערך לחשיפה אפשרית להליכי אכיפה (עיצומים/פרסום/הליכים).
משרדנו מלווה ארגונים בהיערכות רגולטורית, בעדכון חוזים מול ספקים ולקוחות, בבניית מערכי ציות, דיווח ותגובה לאירועי סייבר ובהתנהלות מול רגולטורים.
לעיון בתזכיר החוק לחצ/י כאן
כותבי העדכון: עוה"ד ירון הרמן וצביקה גלבוע
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.
