הצעת חוק הגנת הסייבר הלאומית הועלתה היום (שני) לאישור טלפוני של שרי הממשלה, לאחר שאושרה אתמול בוועדת השרים לענייני חקיקה. מדובר במהלך חקיקה רחב היקף שנועד להסדיר לראשונה בחוק את מערך ההגנה הלאומי בסייבר ואת סמכויות המדינה מול גופים חיוניים במשק בזמן מתקפות סייבר.
בדברי ההסבר להצעה נכתב, כי הצורך בעיגון סמכויות המדינה נשען גם על לקחי המערכות הביטחוניות האחרונות, ובהן מלחמת "חרבות ברזל", מבצע "עם כלביא" ביוני 2025 ומבצע "שאגת הארי" בין פברואר לאפריל 2026.
לפי ההצעה, החובות המרכזיות יחולו על "ארגונים חיוניים" - משרדי ממשלה וגופים במגזרים שהוגדרו חיוניים למשק, ובהם תקשורת, אנרגיה, מים וביוב, בריאות, כימיקלים וחומרים מסוכנים, תחבורה, רשויות מקומיות, מזון ואספקת מוצרים חיוניים, שירותים דיגיטליים וחקלאות. החוק קובע גם תנאי סף כמותיים, ובהם ספק תקשורת עם יותר מ-200 אלף מנויים או רשות מקומית שבה 90 אלף תושבים רשומים ומעלה. המגזר הפיננסי מוחרג מהחוק בשל קיומה של רגולציה ייעודית נפרדת.
הצעת החוק מטילה על הארגונים החיוניים חובת עמידה ברמת הגנת סייבר בסיסית, הכוללת מיפוי נכסי סייבר, ביצוע הערכות סיכונים, הגנת רשתות, הצפנת מידע, הטמעת אמצעי אימות רב-גורמי (MFA), הגנה על שרשרת האספקה ומינוי מנהל הגנת סייבר ארגוני (CISO). היישום יתבצע באמצעות תקנים מקצועיים מוכרים, ובהם ISO/IEC 27001 או NIST CSF.
בנוסף, ארגונים חיוניים יחויבו לדווח באופן מיידי על "תקיפת סייבר משמעותית", במסלול הכולל דיווח ראשוני בתוך 24 שעות, עדכון בתוך 72 שעות ודיווח מסכם בתוך 30 יום מסיום הטיפול באירוע. לפי ההצעה, תקיפה משמעותית היא כזו שפוגעת באופן מהותי בזמינות השירות או ברציפות התפקודית, מסכנת נכס מידע משמעותי או עלולה להתפשט מעבר לארגון שנפגע.
החוק מעניק למדינה גם סמכויות אופרטיביות בזמן אמת. ראש מערך הסייבר הלאומי, באישור ראש הממשלה ולאחר התייעצות ככל האפשר עם הרשות המוסמכת, יוכל להורות לארגון חיוני לנקוט צעדים דחופים למניעת סיכון סייבר משמעותי. לארגון תעמוד זכות השגה בתוך 48 שעות.
במקרה של "תקיפת סייבר חמורה", ואם הארגון אינו מתמודד עמה באופן הולם, עובד מוסמך של הרשות המגזרית יוכל לתת הוראות מחייבות לביצוע פעולות הגנה או למסירת מידע. עם זאת, לפי ההצעה, ראש מערך הסייבר יוכל להורות לעובדי המערך להפעיל סמכויות ישירות בארגון חיוני מגזרי רק בעקבות פנייה של הרשות המוסמכת או כאשר קיים חשש ממשי שהמתקפה תתפשט במהירות ליותר ממגזר אחד או תפגע בביטחון המדינה.
עוד נקבע כי ראש חטיבת ההגנה בסייבר בצה"ל, ראש שב"כ או עובד בכיר בשירות בדרגת ראש חטיבה לפחות יהיו מוסמכים לקבוע כי מתקיימת "תקיפת סייבר חמורה" כאשר נשקפת פגיעה ברציפות התפקוד המבצעי של צה"ל או במילוי תפקידי השירות.
הצעת החוק כוללת גם הסדרים מיוחדים למערכת הביטחון. שר הביטחון, לפי המלצת ראש מלמ"ב ובהסכמת ראש מערך הסייבר, יוכל לקבוע כי גוף המספק מוצרים, שירותים או ידע חיוניים למערכת הביטחון יוגדר "ארגון חיוני למערכת הביטחון". במקרה כזה מלמ"ב תהיה הרשות המוסמכת לגביו, ורמת ההגנה תיקבע לפי מסמך "רב מגן" הייעודי. בנוסף נקבע כי שב"כ ישמש כרשות המוסמכת לגבי משרד ראש הממשלה ומשרד החוץ.
לצד זאת, החוק מאפשר לארגונים שיעמדו בתקני אבטחת מידע מחמירים - ובהם FedRAMP, CSA STAR או SOC 2 Type 2 - להגיש תצהיר ולקבל פטור למשך שנתיים ממרבית חובות החוק, למעט חובת הדיווח הכללית.
הצעת החוק כוללת גם מנגנוני אכיפה ועונשין. הרשות המוסמכת תוכל להטיל עיצומים כספיים של עד 640 אלף שקל בגין הפרות של חובות ההגנה, אי-דיווח על מתקפה או אי-ציות להוראות בזמן אירוע סייבר. בחלק מההפרות הראשונות תחויב הרשות למסור התראה מנהלית לפני הטלת קנס.