משרד התקשורת מקדם בימים אלה הוראות להגנת סייבר שיחולו על חברות תקשורת, באופן שבו יהיה על בעלי רישיונות תקשורת להצטייד ביכולות היערכות הגנת סייבר והתאוששות ברמה גבוהה, תוך מתן אפשרות להגשת התייחסויות לתיקונים המוצעים בחודש הקרוב.
לפי הודעת משרד התקשורת, נוכח חיוניותם של שירותי התקשורת, היקפם וטיבם, הם בעלי חשיבות מרכזית לציבור ולמשק בעיתות שגרה וחירום. על הסיכונים הנשקפים למגזר התקשורת ממתקפות סייבר, נמנים פגיעה או השבתה של שירותי תקשורת, פגיעה בנתונים המכילים מידע רגיש, והשפעה פוטנציאלית על תשתיות קריטיות אחרות.
על פי משרד התקשורת, כיום, רישיונות חברות התקשורת אינם מחייבים את החברות להכין וליישם תוכניות להגנת סייבר. על רקע זאת, המשרד שוקל לתקן את הרישיונות של חברות התקשורת ולקבוע בהם הוראות להיערכות ולניהול הגנת הסייבר על מנת להקטין את סיכוני מתקפות הסייבר, ולהפחית ככל הניתן את הפגיעה בשירותי חברות התקשורת.
בהתאם להודעת משרד התקשורת, תכליות האסדרה החדשה כוללות, בין היתר:
♦ הגנה על רשת התקשורת בצורה מיטבית מפני ההשפעות של תקיפות סייבר, ושילוב מנגנוני פיקוח, ניטור ובקרה, המאפשרים לבסס תמונת מצב עדכנית של הגנת הסייבר, תוך דאגה לפרטיות המידע, שלמות הנתונים וזמינות השירותים.
♦ שמירה על עדכניות ורלוונטיות תוכנית הגנת הסייבר בארגון.
♦ התמודדות עם אירועי סייבר כולל זיהוי האירוע, הכלה, התאוששות וחזרה לשגרה.
♦ יצירת מנגנוני ונהלי דיווח לגורמים בתוך הארגון ומחוצה לו, באופן שייאפשר בקרה ופיקוח על יישום, עדכניות ואפקטיביות הגנת הסייבר, וכן שיתוף מידע ובסיס ידע רחב של כל הגורמים המעורבים בהגנת הסייבר הארגונית.
♦ העלאת המודעות בקרב בעלי התפקידים השונים בארגון למניעה, הגנה והתמודדות עם אירועי סייבר, בדרך של הטמעה ותרגול של התוכנית בקרב מנהלים, עובדים, ספקים וקבלני משנה של בעל הרישיון.
בהתאם להודעת משרד התקשורת, לשם הכנת התיקון המוצע הוביל המשרד עבודת מטה בנושא שכללה, בין היתר, סקירה של איומי הסייבר במגזר התקשורת בארץ ובעולם, סקירה של הפעילות הרגולטורית והתקינה הבין-לאומית בנושא ההגנה על רשתות תקשורת בפני איומי סייבר והדרישות ממפעילי התקשורת ליישום ההגנה, והתייעצויות עם גופים רגולטוריים בארץ ובעולם. בהמשך לכך, גיבש המשרד טיוטת תיקון לרישיונות רלוונטים, כאשר הוראות מסוימות בתיקון יחולו ביחס לבעלי רישיון החל מגודל מסוים (על פי כמות המנויים של בעל הרישיון).
עיקרי התיקון כוללים הוראות מפורטות להגנת סייבר בהיבטים ניהוליים וטכנולוגיים כאחד, בכלל זאת, בכל הנוגע לאחריות הדירקטוריון, למינוי של מנהל הגנת סייבר בארגון, לגיבוש מדיניות הגנת סייבר ושורה של נהלי הגנת סייבר בארגון, לצד רשימה מפורטת של דרישות בהיבטים הגנתיים-טכנולוגיים. בתוך אלה, נכללים היבטים הנוגעים להגנת רשת התקשורת ולשילוב מנגנוני פיקוח, ניטור ובקרה המאפשרים לבסס תמונת מצב עדכנית של הגנת הסייבר; התמודדות עם אירועי סייבר; המצבים בהם נדרש לדווח ולשתף מידע, וכן ערוצי הדיווח לגורמים השונים שנדרש ליידע אותם בתוך החברה ומחוצה לה, ובכלל זה משרד התקשורת; הטמעה ותרגול התוכנית בקרב בעלי תפקידים בארגון ונותני שירותים לארגון.
להודעת משרד התקשורת צורפה טיוטת תיקון הרישיונות וכן דו"ח להערכת השפעות רגולציה (דו"ח RIA) שבו מוצגות החלופות השונות שבחן המשרד והבסיס לתיקון המוצע.
כן הודגש, בין היתר, כי עמידה בהוראות התיקון המוצע אינה מורידה מאחריות בעל הרישיון לפעול להבטחת ההגנה בסייבר בהתאם להוראות הדין החלות עליו.
בהתאם להודעת משרד התקשורת, לצד התיקון המוצע, בימים אלו המשרד אף בוחן את האפשרות לקבוע הוראה ברישיונות הרלוונטיים, שלפיה חברות התקשורת יחוייבו להתחבר למרכז הקיברנטי למגזר התקשורת (SOC התקשורת).
הודעות משרד התקשורת וטיוטת הרישיונות עם התיקונים המתוכננים מופיעים באתר משרד התקשורת בקישור הבא: על רקע האיומים ממדינות עוינות, משרד התקשורת מתכוון לחייב את חברות התקשורת לספק הגנה ממתקפות סייבר | משרד התקשורת (www.gov.il).
משרד התקשורת מאפשר הגשת התייחסות לתיקונים (שימוע) עד ליום 19.09.2021, תוך בקשה לצרף להתייחסות מסמכים רלוונטיים, לרבות לעניין לוחות הזמנים ליישום ההנחיות החדשות.
כתמיד, אנו לרשותכם בכל הנדרש. נשמח לסייע בידי בעלי רישיונות שהרגולציה החדשה עשויה להיות רלוונטית לפעילותם, בבחינת משמעויות הרגולציה החדשה, ובהגשת התייחסותם לשימוע לפי הצורך.
לפרטים ויעוץ ניתן לפנות לורד זליכה, שותפה במשרד ליפא מאיר ושות' וראש תחום סייבר ואינטליגנציה מלאכותית (AI)
*הבהרה: האמור בחוזר זה הינו מידע כללי בלבד ואין בו כדי להוות ייעוץ משפטי המחייב בחינה מעמיקה וספציפית של כל נושא לגופו.