פרסום תזכיר החוק (נובמבר 2023)
ביום 28.11.2023 פרסם מערך הסייבר הלאומי להערות הציבור את תזכיר חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), תשפ"ד-2023.
תזכיר החוק מסמיך את מערך הסייבר הלאומי, שירות הביטחון הכללי והממונה על הביטחון במערכת הביטחון לפעול מול ספק שירותי אחסון או שירותים דיגיטליים בישראל לצורך הגנה מפני איומי סייבר. בהתקיים חשש ממשי לתקיפת סייבר חמורה אשר בשל התרחשותה בתקופת המלחמה יש חשש ממשי שתפגע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים, יהיה רשאי עובד מוסמך של אחד מבין שלושת הגופים הרלוונטיים להודיע לספק על קיומו של חשש כאמור. ככל שהספק הנתקף לא יפעל באופן הולם ובתוך פרק זמן סביר לטיפול בתקיפת הסייבר החמורה ולא יגיש תצהיר על עמידתו בתקן אבטחת סייבר שמוגדר בחוק, יהיה רשאי עובד מוסמך בכל אחד מהגופים הרלוונטים שצוינו, לתת לספק הנתקף הוראות לביצוע פעולה לצורך איתור התקיפה, מניעתה או בלימתה וזאת מתוך מטרה להגן על האינטרס הציבורי ולהפחית את מידת הנזק שעלולה להיגרם מתקיפות סייבר חמורות.
הסדרים אלו פורסמו כתקנות שעת חירום ביום 27.11.2023, אותם תזכיר החוק מבקש להחליף. לפי דברי ההסבר לתזכיר החוק, הוא מתמקד באיומי סייבר על חברות המספקות שירותים דיגיטליים ושירותי אחסון, משום שחברות אלה "מתאפיינות בחיבוריות גבוהה לגופים רבים במשק הישראלי", וכתוצאה מכך "הנזק שנגרם מתקיפה כנגד חברות אלו עלול להתפשט ולהשפיע על חברות רבות במשק.".
דברי ההסבר מציינים כי כיום אין גורם ממשלתי האמון על הסדרת פעילותן של חברות אלה בהגנת הסייבר, זאת למרות שתקיפות סייבר חמורות כנגד ספקים אלה עלולות להביא לפגיעה רחבה בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים. בשל כך, ספקים אלה "מהווים יעד מועדף לתקיפות סייבר".
על מנת להגן על הזכות לפרטיות ולקניין של הספקים ולקוחותיהם, החוק מציע שכל מידע שיתקבל מכוח החוק יישמר בסוד ולא יעשה בו כל שימוש פרט לשימוש בהגנת סייבר, וכן כל מידע כזה יימחק לאחר סיום הטיפול בתקיפת הסייבר החמורה, אלא במקרים חריגים שבהם מנהל באחד הארגונים הרלוונטיים יחליט על שמירתו לצורך הגנה מפני איומים עתידיים. כמו כן, במתן הוראות לחברות המאוימות, עובדי הארגונים יתחשבו בעלות הכלכלית של יישום האמצעים להגנה בסייבר ואת השפעתה על החברות, ועל העובדים לפעול במידתיות לכל אורך התהליך.
תזכיר החוק היה פתוח לתגובות הציבור באתר החקיקה הממשלתי עד ליום 4.12.2023.
הצעת החוק ודיון בוועדת חוץ ובטחון של הכנסת (דצמבר 2023)
ביום 19.12.2023 התקיים דיון בהצעת החוק בוועדת החוץ והביטחון בכנסת. במסגרת הליך קבלת ההתייחסויות בתזכיר החקיקה, התקבלו מספר שינויים בנוסח הצעת החוק:
- כאשר עובד נותן הוראה לחברות מאוימות כדי להתמודד עם איום הסייבר, הספק יוכל לספק לעובד הערכה על העלות וההשפעה של הוראותיו של העובד, ועל העובד יהיה להתחשב בהערכה זו.
- תזכיר החקיקה קבע שהחוק יהיה בתוקף עד לפקיעת ההכרזה על מצב מיוחד בעורף. הצעת החוק בנוסחה הנוכחי קובעת שהחוק יהיה בתוקף ל-6 חודשים, וניתן יהיה להאריכו ב-3 חודשים עד פעמיים (לתקופה של 6 חודשים נוספים) בהחלטת ראש הממשלה, שר הביטחון וועדת החוץ והביטחון.
- בנוסף למנהלים המוסמכים בחוק, רשאי גם ראש חטיבת ההגנה בסייבר בצה"ל לקבוע שתקיפת סייבר מסוימת היא תקיפת סייבר חמורה אם לדעתו היא יכולה לפגוע בתפקוד המבצעי של צה"ל.
ניתן לעקוב אחר התקדמות החקיקה באתר הכנסת.
