ביום 23.6.2025 התקינה הממשלה תקנות חדשות, אשר נועדו להקנות למערך הסייבר הלאומי ולרשויות ביטחוניות מסוימות כלים נוספים להתמודדות עם תקיפות הסייבר במגזר השירותים הדיגיטליים ושירותי האחסון, נוכח ההסלמה במצב הבטחוני (להלן: "התקנות החדשות").
זאת, בהמשך לחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ״ד-2023, מדצמבר 2023, שהסדיר לראשונה התמודדות עם תקיפות סייבר חמורות במגזר זה, והקנה סמכויות למערך הסייבר הלאומי, לשב"כ או לממונה על הביטחון במערכת הביטחון, להתערבות בהתמודדות עם תקיפות סייבר חמורות כנגד ספקים במגזר השירותים הדיגיטליים ושירותי האחסון. בהמשך לעדכון לקוחות שהפצנו אודות החוק, בחקיקה זו נקבעו, בין היתר, מנגנוני דיווח וסמכויות למתן הוראות לספקים לטיפול בתקיפת סייבר חמורה במקרים המתאימים. כמו כן נקבעה האפשרות למתן תצהיר על ידי ספק על עמידה בתקני אבטחה.
להלן עיקרי ההסדרים החדשים לפי התקנות שפורסמו כעת:
1. חובת דיווח מיידי של ספק על תקיפת סייבר משמעותית – על ספק חלה כעת חובה לדווח מיידית למנהל מוסמך אם נודע לו על תקיפת סייבר המתרחשת כנגדו, המקיימת את אחד מהתנאים הבאים:
– קיים חשש ממשי שהתקיפה אינה מוגבלת לספק הנתקף עצמו;
– התקיפה עלולה לפגוע באופן משמעותי בזמינות, ברציפות או במהימנות השירות (לעניין זה נקבעה בתקנות רשימה לא ממצה של שיקולים בהם כמות או סוג המשתמשים המושפעים מהתקיפה, סוג הפגיעה והיקפה, ומשך הפגיעה);
בדיווח יכלול הספק פרטים כגון: מועד תחילת התקיפה, מאפייניה, השפעתה האפשרית על ארגונים מקושרים, פרטי קשר, ופרטי השירותים שנפגעו.
2. חובת הספק ליידע ארגון מקושר על תקיפת סייבר חמורה כנגד הספק – נוכח הקישוריות הגבוהה במגזר השירותים הדיגיטלים והאחסון, ולמניעת התפשטות תקיפות חמורות, נקבעה חובה ליידע ללא דיחוי ארגון מקושר לספק הנתקף, העלול להיפגע באופן ישיר וממשי מהתקיפה (זאת, לאחר שהספק קיבל הודעה רשמית מעובד מוסמך מטעם הרשויות שאוזכרו לעיל, כי מדובר בתקיפת סייבר חמורה). באפשרות הספק לבקש בכתב ובאופן מנומק, פטור מחובה זו או לדחות את מועד היידוע, אם התקיימו נסיבות חריגות המצדיקות זאת.
3. דרישת מסירת מידע ומסמכים – נקבעה סמכות חדשה למנהל מוסמך (מטעם הרשויות שאוזכרו לעיל), לדרוש מהספק מידע או מסמכים, לצורך בחינה האם תקיפת סייבר היא תקיפה חמורה לפי החוק (בין היתר בשים לב להשלכותיה והשפעותיה על ביטחון המדינה או המשק), וזאת אם התעורר יסוד סביר להניח שמדובר בתקיפת סייבר חמורה. השימוש בסמכות זו ייעשה לפי הנחיות פנימיות שקבע ראש מערך הסייבר הלאומי.
4. פטור מהחובות באמצעות תצהיר – ספק שהגיש תצהיר על עמידה בתקנים ואישורים תקפים נלווים כמפורט בתקנות החדשות (כגון ISO/IEC 27001, SOC 2 Type 2) יהיה פטור מהחובות לעיל.
5. תחולה: התקנות החדשות יעמדו בתוקפן לתקופה של חודש ימים.
לסיכום, התקנות החדשות מרחיבות את סמכויות מערך הסייבר הלאומי ורשויות ביטחוניות נוספות, בכל הנוגע להתמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון. יחד עם זאת, נשמרת האפשרות להגשת תצהיר בקשר לעמידה בתקני אבטחת מידע שנקבעו בתקנות, בצירוף אישורים נלווים, אשר פוטר את הספק שהגיש אותו מהחובות החדשות.
אנו לרשותכם/ן כתמיד, ובעת הנוכחית במיוחד, בכל סוגיה בקשר להיערכות המשפטית לאירועי סייבר, לייעוץ משפטי באירועי סייבר, ובקשר ליישום התקנות החדשות.
לעיון בפרסום באתר מערך הסייבר הלאומי אודות התקנות החדשות
העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו – AI.