א. שם החוק המוצע
חוק להסדרת הביטחון בגופים ציבוריים (תיקון מס' 5) (מינוי קצין מוסמך לגופים המנויים בתוספת הרביעית לחוק), התשע"ו-2016
ב. עיקרי החוק המוצע והצורך בו
ב- 15.02.15 קיבלה הממשלה החלטה מס' 2444 בנושא "קידום ההערכות הלאומית להגנת הסייבר" והחלטה מס' 2443 בנושא "קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר" (להלן – ההחלטות). במסגרת ההחלטות החליטה הממשלה על היערכות מדינתית כוללת שתוביל להעלאת רמת הגנת הסייבר ולהגדרת אחריות להגנת הסייבר ברמה הלאומית, ובכלל זה הקמה של רשות לאומית להגנת הסייבר במשרד ראש הממשלה, שייעודה הגנת מרחב הסייבר.
תפקידיה של הרשות לנהל, להפעיל ולבצע את כלל מאמצי ההגנה האופרטיביים במרחב הסייבר, וכן לבנות ולחזק את החוסן של כלל המשק בסייבר באמצעות היערכות כשירות ואסדרה.
התפיסה הכוללת העומדת בבסיס החלטות הממשלה מפברואר 2015, מבוססת על כך שנדרש מענה מערכתי שלם וכולל למול המרחב האזרחי, ושלא ניתן להסתפק בטיפול הנקודתי והממוקד שניתן עד כה ברמה הלאומית.
התפיסה שבבסיס ההחלטות נועדה, בין היתר, להחליף את התפיסה המצומצמת שניצבה בבסיס החלטת ועדת השרים לענייני ביטחון לאומי מספר ב/84 בנושא "אחריות להגנה על מערכות ממוחשבות במדינת ישראל" משנת 2002. במסגרת החלטה זו, ובתיקוני החקיקה של החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – החוק) למימושה, הוסדר הטיפול בהגנת מערכות ממוחשבות חיוניות בלבד. במסגרת החלטה זו, הוטל התפקיד של הנחיית אותן מערכות ממוחשבות חיוניות על יחידה בשירות הביטחון הכללי, כתפקיד ייחודי ורגיש בנוסף על יתר תפקידיו וייעודו. בשל כך נקבעו בהחלטה ב/84 ובהתאמה בחוק שיטה שונה משיטת האסדרה המקובלת במרחב האזרחי בכלל.
במסגרת כלל עבודות המטה שקדמו להחלטות, התבססה תמימות דעים של כלל הגורמים המקצועיים בדבר הצורך לרכז בידי גוף אחד את האחריות להגנה על מרחב הסייבר (להוציא מערכות הגופים המיוחדים), לרבות הטיפול בהגנת מערכות ממוחשבות חיוניות.
בהתאם לכך, מטרתו של תיקון זה להשלים את ההיבט החקיקתי של המדיניות ולהסמיך את ראש הממשלה להורות כי הגורם המנחה יהיה ראש הרשות הלאומית להגנת הסייבר או מי שהוא מינה לכך, לכלל העניינים הקשורים בהגנת הסייבר בגופים אלה.
יצוין כי במקביל לתיקון זה, ובהתאם להחלטות, מגבש מטה הסייבר הלאומי בתיאום עם המחלקה המשפטית במשרד ראש הממשלה ועם משרד המשפטים תזכיר חוק הגנת הסייבר שמטרתו מימוש מכלול ההיבטים הנדרשים בהחלטות.
התיקון המוצע לא נועד לשנות את חלוקת העבודה המקובלת כיום בתחום האבטחה הפיזית בין המשטרה לשב"כ בתחום ההנחיה של תשתיות קריטיות, ובתחומי אחריותו של שב"כ שאינם נוגעים להגנת הסייבר, כגון סיווג והתאמה בטחונית.
לסעיפים 1-3
לתיקון בסעיף 1, 21ב: סעיפים אלה מסמיכים את ראש הממשלה, שהוא השר האחראי בנושא אבטחת מידע ומערכות ממוחשבות חיוניות לפי החוק, וכן אחראי על יחידות הסמך הפועלות במשרדו למימוש נושא זה, להורות כי ראש הרשות הלאומית להגנת הסייבר יהיה קצין מוסמך לעניין גופים המנויים בתוספת הרביעית, חלקם או כולם. בהתאם לכך, יוכל גם ראש הרשות הלאומית להגנת הסייבר למנות קצינים מוסמכים מבין עובדי המדינה לממש את האחריות הקבועה בחוק. בהתאם לחוק, הקצין המוסמך הינו הגורם האחראי על ההנחיה, ולצורך אחדות ההנחיה בגופים מונחים בשל מערכות ממוחשבות חיוניות, הוא יהיה הגורם המנחה גם לעניין מערכות המכילות מידע מסווג, ככל שישנן כאלה, וזאת בהתאם להוראות החלות על מידע מסווג. בנוסף, סוכם כי האחריות והסמכות להגנה בהיבטי תשתיות קריטיות בתחום התקשורת, המנויות כיום בפרטים 4, 20-27 (כולל) בתוספת לא תשתנה, מהמצב הקיים ותישאר בידי שב"כ.[1]
לתיקון בסעיף 10א: התיקון נדרש לצורך טיפול במנגנון ערר על החלטות הקצין המוסמך.
לסעיף 21ג: בהתאם להחלטות נקבע כי הרשות הלאומית להגנת הסייבר תהיה אחראית להגנת הסייבר שלה ושל מטה הסייבר הלאומי, ונדרשת הבהרה בעניין זה בחוק, בדומה לגופים מיוחדים אחרים.
ג. השפעת
החוק המוצע על החוק הקיים
כפי שפורט לעיל.
ד.
השפעת החוק המוצע על תקציב המדינה
תקני כוח אדם ותקציב שיידרשו לרשות הלאומית להגנת הסייבר, בהתאם לתיאום עם אגף
תקציבים.
ה.
נוסח החוק המוצע
להלן נוסח החוק המוצע:
להלן נוסח החוק המוצע:
חוק לתיקון החוק להסדרת הביטחון בגופים ציבוריים, (תיקון מס' 5)(מינוי קצין מוסמך לגופים המנויים בתוספת הרביעית לחוק), התשע"ו-2016
|
תיקון סעיף 1 לחוק |
1. בח |
בחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998[2] (להלן – החוק), בסעיף 1, בהגדרת "קצין מוסמך": |
||||||
|
|
|
|
(א)בפסקה (2)(ג) בסופה יבוא: "אלא אם ראש הממשלה הורה לגבי הגוף מכוח סמכותו לפי סעיף 21ב כי הקצין המוסמך יהיה ראש הרשות הלאומית להגנת הסייבר או מי שהוא מינה לכך". |
|||||
|
|
|
|
(ב) בפסקה (4) יבוא: "אלא אם ראש הממשלה הורה לגבי הגוף מכוח סמכותו לפי סעיף 21ב כי הקצין המוסמך יהיה ראש הרשות הלאומית להגנת הסייבר או מי שהוא מינה לכך". |
|||||
|
|
|
|
(ג) לאחר פסקה (4) יבוא: |
|||||
|
|
|
|
|
"(5) לעניין גופים המנויים בתוספת הרביעית לחוק, ובכלל זה גופים המנויים גם בתוספת השנייה לחוק, שראש הממשלה הורה לגביהם מכוח סמכותו לפי סעיף 21ב – ראש הרשות הלאומית להגנת הסייבר או מי שהוא מינה לכך, למעט לעניין התאמה בטחונית וסיווג בטחוני" |
||||
|
תיקון סעיף 10א לחוק |
2. |
בחוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – החוק), לאחר סעיף 10א(א)(2) יבוא: |
||||||
|
|
|
|
"(3) |
לעניין הנחיות מקצועיות שניתנו על ידי קצין מוסמך שמונה לפי סעיף 21ב – בפני מי שמינה לכך ראש הממשלה;
|
||||
|
הוספת סעיף 21ב |
3. |
לאחר סעיף 21א לחוק יבוא: |
||||||
|
|
|
שינוי הגדרת קצין מוסמך - ראש הרשות הלאומית להגנת הסייבר |
21ב. |
(א)ראש הממשלה רשאי להורות כי ראש הרשות הלאומית להגנת הסייבר, יהיה קצין מוסמך לעניין גוף מהגופים המנויים בתוספת הרביעית, כולם או חלקם, וזאת למעט הגופים המנויים להלן: |
||||
|
|
|
|
|
|
|
|
(1) הגופים המנויים בסעיף 4, 15, 20 עד 27 לתוספת הרביעית; |
|
|
|
|
|
|
|
|
|
(2) גופים אשר מתקיימים בהם כל אלה: |
|
|
|
|
|
|
|
|
|
|
(א)הם הוספו לתוספת השנייה או הרביעית לחוק; |
|
|
|
|
|
|
|
|
|
(ב) בעלי רישיון כאמור בסעיף 13 לחוק התקשורת (בזק ושידורים), התשמ"ב-1982 (להלן – חוק התקשורת) |
|
|
|
|
|
|
|
|
|
(ג) ניתנו לגביהם הוראות כאמור בסעיף 13(ב) לחוק התקשורת; |
|
|
|
|
|
|
|
(ד) הורה ראש הממשלה כאמור בסעיף קטן (א) יהיה רשאי ראש הרשות הלאומית להגנת הסייבר למנות קצין מוסמך מבין עובדי הרשות לעניין גוף או גופים כאמור; (ה) הורה ראש הממשלה כאמור בסעיף קטן (א)– בכל מקום שבו נאמר בחוק זה שירות הביטחון הכללי או שב"כ, למעט סעיף זה, ייקרא הרשות הלאומית להגנת הסייבר או עובד הרשות, לפי העניין, לעניין הגופים האמורים, ובכלל זה לעניין ההנחיה לפי התוספת השנייה לחוק כפי שיקבע; (ו) הורה ראש הממשלה כאמור בסעיף קטן (א), לעניין גופים המנויים גם בתוספת הרביעית וגם בתוספת השנייה, יפעל ראש הרשות הלאומית להגנת הסייבר או עובד הרשות בעניין פעולות לאבטחת מידע מסווג בגוף בהתאם להוראות שירות הביטחון הכללי בעניין שמירה על מידע מסווג. (ז) הורה ראש הממשלה כאמור בסעיף קטן (א), ולעניין הגופים שלגביהם הורה, לעניין סעיף 7 (3) לחוק– בכל מקום שבו נאמר "שירות הביטחון הכללי" יבוא "הרשות הלאומית להגנת הסייבר". |
||
|
|
|
"תחולת החוק על מערך הסייבר הלאומי |
21ג. |
(א) חוק זה יחול על מטה הסייבר הלאומי והרשות הלאומית להגנת הסייבר מערך הסייבר הלאומי במשרד ראש הממשלה (להלן בסעיף זה– יחידות הסמך) בשינויים אלה: |
||||
|
|
|
|
|
|
|
|
(1) ראש הרשות הלאומית להגנת הסייבר ישמש קצין מוסמך וימנה ממונה ביטחון ומאבטח ביחידות הסמך; |
|
|
|
|
|
|
|
|
|
(2) ממונה ביטחון ביחידות הסמך יהיה אחראי על ארגון וביצוע פעולות לאבטחת מידע ועל פעולות לאבטחת מערכות ממוחשבות חיוניות, וכן על פעולות אבטחה פיזית ככל שהן נדרשות לצורך כך, וכן על הפיקוח על פעולות אלה; |
|
|
|
|
|
|
|
|
|
(3) הוראות סעיפים 8, 10א, ו-15 לא יחולו על יחידות הסמך." |
|