הקליקו על כותרת הסעיף
1. הגדרות
2. תקיפת סייבר חמורה
2א. חובת דיווח
3. התמודדות עם תקיפת סייבר חמורה
4. תיעוד
5. אופן הפעלת סמכויות
6. סודיות, הגבלת שימוש ומחיקה
7. עונשין
8. דיווח
9. שמירת דינים
10. תיקון חוק בתי משפט לעניינים מינהליים - הוראת שעה - מס' 140
11. ביטול תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון)
12. תוקף

חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה), התשפ"ד-2023 1

 
1.   
הגדרות

[תיקון התשפ"ה (מס' 2)]
בחוק זה -
"ארגון מקושר" - ארגון שקיים חיבור, פיזי או לוגי, קבוע או עיתי, בין מחשביו לבין מחשבי הספק, או שמתבצעת העברת חומר מחשב, קבועה או עיתית, בין מחשבי הספק למחשביו;
"חומר מחשב", "מחשב", "פלט" ו"תוכנה" - כהגדרתם בחוק המחשבים;
"חוק להסדרת הביטחון" - חוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998;
"מלמ"ב" - הממונה על הביטחון במערכת הביטחון;
"מנהל מוסמך" - אחד מאלה או ממלא מקומו:
(1) ראש יחידת המודיעין וההכוונה בחטיבת איומי סייבר בשב"כ;
(2) ראש מרכז תגובה ( IR ) במערך הסייבר;
(3) לעניין ספק של הגופים המנויים בפרטים 2 ו-3 בתוספת הראשונה לחוק להסדרת הביטחון - ראש יחידת הסייבר במלמ"ב;
"מערך הסייבר" - מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון;
"המרכז הלאומי" - המרכז הלאומי לסיוע בהתמודדות עם איומי סייבר ( CERT ), שמפעיל מערך הסייבר;
"ספק" - אחד מאלה:
(1) מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים חיבור פיזי או לוגי, קבוע או עיתי, או שמתבצעת העברת חומר מחשב קבועה או עיתית, ממחשביו למחשבי מקבל שירותיו;
(2) מי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי אחסון או שירותים דיגיטליים;
"עובד מוסמך" - כל אחד מאלה:
(1) עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב-2002, שראש חטיבת איומי סייבר בשב"כ או ממלא מקומו הסמיך בכתב לעניין חוק זה;
(2) עובד מערך הסייבר שראש חטיבת ההגנה במערך הסייבר הסמיך בכתב לעניין חוק זה;
(3) לעניין ספק של הגופים המנויים בפרטים 2 ו-3 לתוספת הראשונה לחוק להסדרת הביטחון - עובד המלמ"ב שראש יחידת הסייבר במלמ"ב הסמיך בכתב לעניין חוק זה;
"פעולה להגנת סייבר בחומר מחשב" - מתן הוראות למחשב בשפה קריאת מחשב לשם הגנת סייבר, ובכלל זה הוראה לסריקה, לעיבוד, להסרה של חומר מחשב הנוגע לתקיפת סייבר, להתקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד, לחסימה או לניתוק של מחשב, או ליצירת עותק של חומר המחשב;
"הפעולות הצבאיות המשמעותיות" - (נמחקה);
"צה"ל" - צבא הגנה לישראל;
"שב"כ" - שירות הביטחון הכללי;
"שירותי אחסון" - שירותי אחסון של חומר מחשב הניתנים בעבור אחר, או שירותי אספקת תשתית לאחסון או לעיבוד של חומר מחשב;
"שירותים דיגיטליים" - שירות שהוא אחד מאלה, הניתן בעבור אחר:
(1) שירותי תוכנה, לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח של תוכנה;
(2) שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה וטכנולוגיות תקשורת;
(3) שירותי עיבוד נתונים, הזנתם או שחזורם, התקנה והגדרת תצורה של מחשבים, התקנת תוכנה או שירותי הגנת סייבר;
(4) אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות וציוד תעשייתי;
"תקיפת סייבר" - פעולה או חשש ממשי לפעולה שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב השמור בו, לרבות -
(1) שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו;
(2) מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו;
(3) אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם;
(4) חדירה לחומר מחשב כהגדרתה בסעיף 4 לחוק המחשבים;
(5) האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר, התשל"ט-1979;
(6) גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע לרבות בדרך של העתקתו, על ידי גורם כאמור;
(7) הפרעה או מניעה של חיבור של מחשב לרשת תקשורת.
2.   
תקיפת סייבר חמורה

[תיקון התשפ"ה (מס' 2)]
(א) מנהל מוסמך רשאי לקבוע כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי עומדת להתרחש היא תקיפת סייבר חמורה, אם מצא כי יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה או בביטחון הציבור, או לפגוע באופן חמור ברציפות אספקתם של שירותים חיוניים לציבור, ובשל כל אלה (בחוק זה - תקיפת סייבר חמורה):
(1) (נמחקה);
(2) קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף;
(3) מאפייניה, לרבות מיתאר התקיפה או זהות התוקף.
(א1) היה למנהל מוסמך יסוד סביר להניח כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ספק או תקיפה כאמור הנעשית באמצעות ספק, רשאי הוא, בעצמו או באמצעות עובד מוסמך, לדרוש מהספק להציג לו כל ידיעה או מסמך, לרבות פלט, כדי להבטיח או להקל את ביצועו של סעיף זה; הוראות סעיף קטן זה לא יחולו לעניין ספק שהגיש תצהיר כאמור בסעיף 3(א)(3).
(ב) הסמכות הנתונה למנהל מוסמך לפי סעיף קטן (א) תהיה נתונה לראש חטיבת הגנה בסייבר בצה"ל, לעניין תקיפת סייבר שהוא מצא שמתרחשת או שיש חשש ממשי כי עומדת להתרחש, אם מצא כי יש חשש ממשי שיש בה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל, בשל האמור בפסקאות (2) ו–(3) של אותו סעיף קטן.
2א.   
חובת דיווח

[תיקון התשפ"ה (מס' 2)]
(א) נודע לספק על כך שמתרחשת נגדו, בפועל, תקיפת סייבר משמעותית שמתקיים לגביה אחד מהמפורטים להלן, ידווח על כך למנהל המוסמך, בהתאם להוראות סעיף קטן (ב):
(1) יש חשש ממשי שהיא אינה מוגבלת לספק הנתקף;
(2) היא עלולה לפגוע באופן משמעותי בזמינות, ברציפות או במהימנות השירות של הספק, בהתחשב, בין השאר, באלה:
(א) מספר או סוג המשתמשים בשירות, שעלולים להיות מושפעים מהתקיפה;
(ב) סוג הפגיעה והיקפה;
(ג) משך הפגיעה.
(ב) לשם מילוי חובת הדיווח כאמור בסעיף קטן (א), יפעל ספק באחת הדרכים שבפסקאות (1) או (2) להלן, בציון הדרך שבה בחר לפעול:
(1) יגיש, באופן מיידי, דיווח הכולל את הפרטים שלהלן, אם הם ידועים לו, וכל מידע אחר שיש בו כדי לסייע להערכת חומרתה של תקיפת הסייבר והשלכותיה:
(א) פרטי הספק והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו;
(ב) מועד תחילתה של תקיפת הסייבר ומועד גילויה;
(ג) מידע לגבי מאפייני תקיפת הסייבר והשפעתה על הספק;
(ד) מידע הנוגע לאפשרות שתקיפת הסייבר תשפיע באופן ממשי על ארגון מקושר;
(2) יגיש את הדיווחים בהתאם למפורט להלן:
(א) יגיש, בלא דיחוי ולא יאוחר מחלוף 24 שעות מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח ראשוני עליה הכולל מידע שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה, אם הוא ידוע לו, וכן את פרטי הספק והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו;
(ב) יגיש, בלא דיחוי ולא יאוחר מחלוף 72 שעות מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני כאמור בפסקת משנה (א), הערכה ראשונית בדבר חומרת התקיפה והשלכותיה, ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול אם המידע האמור ידוע לו;
(ג) יגיש, לפי דרישה מאת המנהל המוסמך, בעצמו או באמצעות עובד מוסמך, ובמועד שיקבע המנהל המוסמך, דיווח ביניים הכולל עדכון לגבי המידע שנמסר לפי פסקאות משנה (א) או (ב);
(ד) יגיש, לא יאוחר מחלוף 30 ימים מהמועד שבו הגיש את הדיווח לפי פסקת משנה (ב), דיווח הכולל את הפרטים שלהלן (להלן - דיווח מסכם):
(1) תיאור מפורט על אודות תקיפת הסייבר, לרבות חומרתה והשלכותיה;
(2) סוג תקיפת הסייבר והגורמים שהיוו מקור להתרחשותה, לפי מיטב ידיעתו של הספק;
(3) אופן הטיפול בתקיפת הסייבר, לרבות פירוט בדבר אמצעים שננקטו או שעדיין ננקטים לשם כך, למעט סוד מסחרי הנוגע ישירות לאופן הטיפול בתקיפת הסייבר ולאמצעים כאמור;
(ה) על אף האמור בפסקת משנה (ד), אם לא הסתיים הטיפול בתקיפת הסייבר במועד הדיווח כאמור באותה פסקת משנה, יגיש הספק, באותו מועד, דיווח על התקדמות הטיפול בתקיפת הסייבר, הכולל את הפרטים לפי אותה פסקת משנה, אם הם ידועים לו; הסתיים הטיפול בתקיפת הסייבר, יגיש הספק, לא יאוחר מ-30 ימים לאחר סיום הטיפול בתקיפה, דיווח מסכם כאמור באותה פסקת משנה.
(ג) דיווח לפי סעיף זה יוגש למנהל המוסמך באמצעות המרכז הלאומי באופן מקוון באתר האינטרנט של מערך הסייבר, בהודעה טלפונית למרכז הלאומי או בדרך אחרת שהורה עליה ראש מערך הסייבר ופורסמה באתר האינטרנט כאמור.
(ד) על אף האמור בסעיף קטן (ג), ספק של גוף מהגופים המנויים בפרטים 2 ו-3 בתוספת הראשונה לחוק להסדרת הביטחון, יגיש את הדיווח לפי סעיף זה למלמ"ב, באופן שיורה לו ראש המלמ"ב.
3.   
התמודדות עם תקיפת סייבר חמורה

[תיקון התשפ"ה (מס' 2)]
(א) קבע מנהל מוסמך או ראש חטיבת הגנה בסייבר בצה"ל לפי הוראות סעיף 2 כי תקיפת סייבר שמתרחשת או עומדת להתרחש, נגד ספק או באמצעותו, היא תקיפת סייבר חמורה, והודיע על כך עובד מוסמך לספק, לאחר שהזדהה לפניו, יחולו הוראות אלה:
(1) העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית לקביעה כאמור, ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים;
(2) העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם לאיתור התקיפה, מניעתה או בלימתה, בתוך פרק זמן סביר שיימסר לספק, והכול בהתחשב במאפייני תקיפת הסייבר;
(3) הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע לאיתור התקיפה, מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח שפרסם ראש מערך הסייבר באתר האינטרנט של מערך הסייבר בדבר אספקת שירותי האחסון או השירותים הדיגיטליים ללקוחותיו או בדבר אספקת שירותי תחזוקה, ניהול או בקרה של שירותים כאמור, תוך יישום הנחיות אבטחה בהתאם לאמור בטור א' לתוספת, לעניין כלל השירותים שהוא מספק, או לעניין השירותים כאמור שנגדם בוצעה התקיפה ואם בטור ב' לתוספת מנוי לצידו מסמך - בצירוף המסמך, והכול בתוך פרק זמן סביר כאמור בפסקה (2);
(4) לא מסר הספק תצהיר כאמור בפסקה (3), ומצא העובד המוסמך כי הספק לא פעל באופן הולם לאיתור התקיפה, מניעתה או בלימתה, כאמור בפסקה (2), רשאי העובד המוסמך, אם מצא שהדבר נדרש לאיתור התקיפה, מניעתה או בלימתה, ולאחר שהודיע לספק על כוונתו לתת לו הוראות לפי פסקה זו ונתן לו הזדמנות להשמיע את טענותיו, לתת לספק הוראות, בכתב או בעל פה, שיבצע הספק, ובכלל זה הוראות לביצוע פעולות להגנת סייבר בחומר מחשב או הוראות למסירת ידיעה או מסמך, לרבות העתק מחומר מחשב, לידי העובד המוסמך;
(5) במתן הוראות לספק לפי פסקה (4) -
(א) ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות, על פעילות הספק ועל צד שלישי, וכן את העלות הכלכלית המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות התפקודית של הספק, למיטב ידיעתו של העובד המוסמך, ואם הספק מסר הערכה לעניין זה - בהתחשב בהערכה שמסר;
(ב) יורה העובד המוסמך לנקוט אמצעי שפגיעתו פחותה לאיתור התקיפה, מניעתה או בלימתה;
(ג) יפרט העובד המוסמך את המועד האחרון לביצוע ההוראה;
(6) נתן עובד מוסמך לספק הוראה לפי פסקה (4), יפעל הספק בהתאם לה עד המועד האחרון שנקבע לביצועה כאמור בפסקה (5)(ג), וידווח על אופן ביצועה לעובד המוסמך 5 עד המועד האמור.
(ב) (1) מסר העובד המוסמך לספק הודעה כאמור בסעיף קטן (א), ימסור הספק, בלא דיחוי, עדכון בדבר תקיפת הסייבר החמורה לכל ארגון מקושר אשר עלול להיפגע ממנה ישירות ובאופן ממשי, וידווח על כך בכתב לעובד המוסמך, והכול אלא אם כן הורה העובד המוסמך אחרת; הוראות סעיף קטן זה לא יחולו לעניין ספק שהגיש תצהיר כאמור בסעיף קטן (א)(3).
(2) המנהל המוסמך רשאי, לפי בקשה בכתב מאת הספק, אם שוכנע כי קיימות נסיבות חריגות המצדיקות זאת, לפטור את הספק מחובת היידוע כאמור בפסקה (1) או לדחות את מועד היידוע.
4.   
תיעוד

[תיקון התשפ"ה (מס' 2)]
עובד מוסמך יתעד בכתב את ההוראות שניתנו לספק לפי סעיפים 2(א1), 2א(ב)(2)(ג) או 3 וימסור לו נוסח כתוב של ההוראות שאינו מכיל מידע מסווג, בהקדם האפשרי לאחר מתן ההוראה; בסעיף זה, "מידע מסווג" - מידע שסיווגו הביטחוני נקבע בידי מערך הסייבר, שב"כ, צה"ל או מלמ"ב, לפי העניין, כסיווג ברמת 'שמור' ומעלה.
5.   
אופן הפעלת סמכויות
הסמכויות לפי סעיף 3 לעניין תקיפת סייבר מסוימת נגד ספק, או לעניין כמה תקיפות כאמור המתרחשות באותו מועד, יופעלו כלפי הספק בידי עובד מוסמך מקרב גוף אחד בלבד.
6.   
סודיות, הגבלת שימוש ומחיקה

[תיקון התשפ"ה (מס' 2)]
(א) אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה ישמור אותו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לאיתור תקיפת סייבר חמורה, מניעתה או בלימתה.
(ב) מידע שהתקבל מספק לפי חוק זה יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה ולעניין תקיפת סייבר שנקבע, לפי הוראות סעיף 2, שהיא אינה תקיפת סייבר חמורה - בסמוך לאחר קבלת החלטה על כך שהתקיפה אינה תקיפת סייבר חמורה, אלא אם כן קבע מנהל מוסמך שהמידע כאמור חיוני לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור יישמר בהיקף המזערי הנדרש.
(ג) פרסום פומבי ברבים של זהות הספק, שהתקבלה לפי חוק זה, יהיה באישור מנהל מוסמך לאחר שנתן לספק הזדמנות להשמיע את טענותיו.
(ד) בסעיף זה, "מידע" - למעט מידע על התוקף, התקיפה, מאפייני התקיפה או אמצעי הטיפול בה.
7.   
עונשין
אדם שגילה מידע שהתקבל מספק לפי חוק זה או עשה שימוש במידע שהתקבל מספק לפי חוק זה, תוך כדי מילוי תפקידו או במהלך מילוי תפקידו, בניגוד להוראות סעיף 6(א), דינו - מאסר שלוש שנים.
8.   
דיווח

[תיקונים: התשפ"ד, התשפ"ה (מס' 2)]
(א) מערך הסייבר, שב"כ ומלמ"ב ידווחו ליועץ המשפטי לממשלה ולוועדת החוץ והביטחון של הכנסת, אחת לחודש, על כל אלה:
(1) המקרים שבהם ניתנו הוראות לספק לפי סעיף 3(א)(4), הנימוק למתן ההוראות וסוגן, ומספר המקרים שבהם ספק לא מילא אחר הוראות כאמור;
(1א) מספר המקרים שבהם ניתנה לספק הזדמנות להשמיע את טענותיו לפי סעיף 3(א)(4) וסוג הספק;
(2) מספר המקרים שבהם העובד המוסמך סייע לספק במילוי ההוראות שניתנו לו לפי סעיף 3(א);
(3) סוגי הספקים שמנהל מוסמך קבע כי תקיפתם היא תקיפת סייבר חמורה לפי סעיף 2(א);
(4) מספר המקרים שבהם מנהל מוסמך קבע כי תקיפת סייבר היא תקיפת סייבר חמורה לפי סעיף 2(א), בפילוח בשל פגיעה בביטחון המדינה, פגיעה בביטחון הציבור או פגיעה בקיום האספקה והשירותים החיוניים;
(5) מספר הספקים שנדרשו להציג למנהל מוסמך ידיעה או מסמך לפי הוראות סעיף 2(א1);
(6) מספר המקרים שבהם דיווח ספק, לפי הוראות סעיף 2א, על כך שמתרחשת נגדו תקיפת סייבר כאמור באותו סעיף;
(7) מספר המקרים שבהם הורה עובד מוסמך לספק שלא למסור לארגון מקושר עדכון בדבר תקיפת סייבר חמורה, לפי הוראות סעיף 3(ב)(1).
(ב) דיווח לפי חוק זה יהיה חסוי ופרסומו אסור.
9.   
שמירת דינים
(א) הוראות חוק זה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן.
(ב) בלי לגרוע מהוראות סעיף קטן (א), הוראות חוק זה באות להוסיף על כל הוראה בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, אולם במקרה של סתירה, יגברו הוראות חוק זה.
10.   
תיקון חוק בתי משפט לעניינים מינהליים - הוראת שעה - מס' 140

[תיקון התשפ"ה (מס' 2)]
בתקופת תוקפו של חוק זה, כאמור בסעיף 12, יקראו את חוק בתי משפט לעניינים מינהליים, התש"ס-2000, כך שבתוספת הראשונה, בסופה יבוא:
"65. החלטה של רשות לפי חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה), התשפ"ד-2023".
11.   
ביטול תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון)
תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023 - בטלות.
12.   
תוקף

[תיקונים: התשפ"ד, התשפ"ה, התשפ"ה (מס' 2)]
סעיפים 1 עד 10 לחוק זה יעמדו בתוקפם עד יום י"ג בשבט התשפ"ו (31 בינואר 2026).
תוספת

[תיקון התשפ"ה (מס' 2)]
(סעיף 3(א)(3))
 
טור א'
התק
טור ב'
המסמך
טור ב'
המסמך
1.
הספק מיישם את הדרישות לצורך עמידה בתקן NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (high )
 
 
2.
הספק מיישם את הדרישות לצורך עמידה בשניים מתקני הליבה שלהלן:
 
 
 
(1)
ISO/IEC 27001 או ת"י 27001
תעודת הסמכה בתוקף
 
(2)
SOC 2 Type 2
תעודת הסמכה או דוח Attestation בתוקף

 
טור א'
התק
טור ב'
המסמך
טור ב'
המסמך
טור ב'
המסמך
 
(3)
CMMC Level 3
תעודת הסמכה או דוח הערכה (Assessment ) על ידי DCMADIBCAC
(Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center )
תעודת הסמכה או דוח הערכה (Assessment ) על ידי DCMADIBCAC
(Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center )
 
(4)
NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Moderate )
מסמך Authorization To Operate (ATO ) קבוע ובתוקף, החתום על ידי Authorizing Official (AO ) מוסמך מטעם סוכנות פדרלית, משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף בלי תנאים מגבילים (ATO with Conditions ) ובלי פריטי Plan of ,Action and Milestones (POA &M ) שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמת Moderate
מסמך Authorization To Operate (ATO ) קבוע ובתוקף, החתום על ידי Authorizing Official (AO ) מוסמך מטעם סוכנות פדרלית, משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף בלי תנאים מגבילים (ATO with Conditions ) ובלי פריטי Plan of ,Action and Milestones (POA &M ) שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמת Moderate
3.
הספק מקיים את שני אלה:
 
 
 
 
(1)
הספק מיישם את הדרישות לצורך עמידה בתקן אחד מתקני הליבה שלהלן ומצורף אישור כמפורט לצידו, וכמו כן הספק מקיים את הבקרות הנדרשות בהתאם לתקן נוסף מתקני הליבה שלהלן:
 
 
 
 
(א)
ISO/IEC 27001 או ת"י 27001
תעודת הסמכה בתוקף
 
 
(ב)
SOC 2 Type 2
תעודת הסמכה או דוח אימות תאימות (Attestation ) בתוקף
 
 
(ג)
CMMC Level 3
תעודת הסמכה או דוח הערכה (Assessment ) על ידי DCMADIBCAC
(Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center )
 
טור א'
התק
טור ב'
המסמך
טור ב'
המסמך
טור ב'
המסמך
 
 
(ד)
NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Moderate )
מסמך Authorization To Operate (ATO ) קבוע ובתוקף, החתום על ידי Authorizing Official (AO ) מוסמך מטעם סוכנות פדרלית, משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף בלי תנאים מגבילים (ATO with Conditions ) ובלי פריטי Plan of ,Action and Milestones (POA &M ) שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמת Moderate
 
(2)
הספק מיישם את הדרישות לצורך עמידה בתקן אחד מהתקנים המשלימים שלהלן:
 
 
 
 
(א)
תקן ISO/IEC 27017
תעודת הסמכה
 
 
(ב)
תקן ISO/IEC 27018
תעודת הסמכה
 
 
(ג)
תקן ISO/IEC 27034
תעודת הסמכה
 
 
(ד)
תקן ISO/IEC 27035
תעודת הסמכה
 
 
(ה)
תקן ISO/IEC 27701
תעודת הסמכה
 
 
(ו)
תקן PCI DSS
תעודת הסמכה
 
 
(ז)
תקן IEC 62443
תעודת הסמכה
 
 
(ח)
תקן ISO 22301
תעודת הסמכה
 
 
(ט)
תקן SOC 2 Type 1
תעודת הסמכה
 
 
(י)
תקן "רב מגן" ברמה 2 אישור בכתב מאת המלמ"ב
 
 
 
(יא)
תקן CIS - Critical Security Control (IG3 )
דוח אימות תאימות מאת CIS Securesuite Members
4.
הספק מקיים את כל אלה:
 
 
 
 
(1)
הספק מיישם את הדרישות לצורך עמידה בתקן אחד מהתקנים שלהלן:
 
 

 
טור א'
התק
טור ב'
המסמך
טור ב'
המסמך
טור ב'
המסמך
 
 
(א)
CMMC Level 3
תעודת הסמכה או דוח הערכה (Assessment ) על ידי DCMADIBCAC
(Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center )
 
 
(ב)
NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Moderate )
מסמך Authorization To Operate (ATO ) קבוע ובתוקף, החתום על ידי Authorizing Official (AO ) מוסמך מטעם סוכנות פדרלית, משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף בלי תנאים מגבילים (ATO with Conditions ) ובלי פריטי Plan of ,Action and Milestones (POA &M ) שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמת Moderate
 
(2)
 
הספק מקיים את הבקרות הנדרשות בהתאם לתקן אחד מתקני הליבה שלהלן:
 
 
 
(א)
ISO/IEC 27001 או ת"י 27001
 
 
 
(ב)
SOC 2 Type 2
 
(3)
הספק מקיים את הבקרות הנדרשות בהתאם לתקן אחד מהתקנים המשלימים שלהלן:
 
 
 
 
 
(א)
תקן ISO/IEC 27017
 
 
 
(ב)
תקן ISO/IEC 27018
 
 
 
(ג)
תקן ISO/IEC 27034
 
 
 
(ד)
תקן ISO/IEC 27035
 
 
 
(ה)
תקן ISO/IEC 27701
 
 
 
(ו)
תקן NIST SP 800-161
 
 
 
(ז)
תקן NIST SP 800-218
 

 
טור א'
התק
טור ב'
המסמך
טור ב'
המסמך
טור ב'
המסמך
 
 
(ח)
תקן PCI DSS
 
 
 
(ט)
תקן IEC 62443
 
 
 
(י)
תקן ISO 2230 1
 
 
 
(יא)
תקן SOC 2 Type 1
 
 
 
(יב)
תקן "רב מגן" ברמה 2
 
 
 
(יג)
תקן CIS - Critical Security Control (IG3 )
דוח אימות תאימות מאת CIS Securesuite Members

 
בנימין נתניהו ראש הממשלה
 
יצחק הרצוג נשיא המדינה
 
אמיר אוחנה יושב ראש הכנסת
[1.] ס"ח 3135, התשפ"ד (26.12.2023), עמ' 410. הצ"ח - ממשלה 1688, התשפ"ד, עמ' 358.
תיקונים:ס"ח 3254, התשפ"ד (23.7.2024), עמ' 1098. הצ"ח - ממשלה 1754, התשפ"ד, עמ' 1004.
ס"ח 3385, התשפ"ה (31.3.2025), עמ' 426. הצ"ח - ממשלה 1849, התשפ"ה, עמ' 664;
ס"ח 3453, התשפ"ה (14.8.2025), עמ' 798 [התשפ"ה (מס' 2)] (כולל שינוי השם). הצ"ח - ממשלה 1888, התשפ"ה, עמ' 984.