תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ה-2025 - בוטל 1

(1) בסעיף 1 -

(א) לפני ההגדרה ""חומר מחשב", "מחשב", "פלט" ו"תוכנה"" בא:

""ארגון מקושר" - ארגון שקיים חיבור, פיזי או לוגי, קבוע או עיתי, בין מחשביו לבין מחשבי הספק, או שמתבצעת העברת חומר מחשב, קבועה או עיתית, ממחשביו למחשבי מקבל שירותיו ;";

(ב) אחרי ההגדרה "מערך הסייבר" בא:

""המרכז הלאומי" - המרכז הלאומי לסיוע בהתמודדות עם איומי סייבר ( CERT ); ";

(2) בסעיף 2, אחרי סעיף קטן (א) בא:

"(א1) היה למנהל מוסמך יסוד סביר להניח כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ספק או תקיפה כאמור הנעשית באמצעות ספק, רשאי הוא לדרוש מהספק להציג לו כל ידיעה או מסמך לרבות פלט, אם סבר שהם נדרשים לשם בחינת התקיימותם של התנאים המפורטים בסעיף קטן (א); ראש מערך הסייבר יפרסם באתר האינטרנט של המערך הנחיות פנימיות לעניין אופן הפעלת הסמכות לפי סעיף קטן זה.";

(3) אחרי סעיף 2 בא:

2א. (א) נודע לספק על כך שמתרחשת נגדו, בפועל, תקיפת סייבר שמתקיים לגביה אחד מאלה, ידווח על כך באופן מיידי למנהל המוסמך באמצעות המרכז הלאומי:

(1) יש חשש ממשי שהיא אינה מוגבלת לספק הנתקף;

(2) היא עלולה לפגוע באופן משמעותי בזמינות, ברציפות או במהימנות השירות של הספק, בהתחשב, בין השאר, באלה:

(א) כמות או סוג המשתמשים בשירות, שעלולים להיות מושפעים מהתקיפה;

(ב) סוג הפגיעה והיקפה;

(ג) משך הפגיעה.

(ב) בדיווח לפי סעיף זה יכלול הספק את הפרטים שלהלן, אם הם ידועים לו, וכל מידע אחר שיש בו כדי לסייע להערכת חומרתה של תקיפת הסייבר והשלכותיה:

(1) פרטי הספק והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו;

(2) מועד תחילת תקיפת הסייבר ומועד גילויה;

(3) מידע לגבי מאפייני תקיפת הסייבר והשפעתה על הספק;

(4) מידע הנוגע לאפשרות השפעת התקיפה על ארגונים מקושרים.

(ג) דיווח לפי סעיף זה יכול שיוגש באופן מקוון באתר האינטרנט של מערך הסייבר הלאומי, בהודעה טלפונית למרכז הלאומי או בדרך אחרת שהורה עליה ראש מערך הסייבר הלאומי ופורסמה באתר האינטרנט כאמור.

(ד) על אף האמור בסעיף קטן (ג), ספק של גוף מהגופים המנויים בפרטים 2 ו–3 לתוספת הראשונה לחוק להסדרת הביטחון, יגיש את הדיווח לפי סעיף זה למלמ"ב, באופן שיורה לו ראש המלמ"ב.";

(4) בסעיף 3, יראו כאילו -

(א) האמור בו יסומן "(א)", ובו, בפסקה (3), אחרי "בתוספת" בא "הראשונה";

(ב) אחרי סעיף קטן (א) בא:

"(ב) (1) מסר העובד המוסמך לספק הודעה כאמור בסעיף קטן (א), ימסור הספק, בלא דיחוי, עדכון בדבר התקיפה החמורה לכל ארגון מקושר אשר עלול להיפגע ממנה ישירות ובאופן ממשי, וידווח על כך בכתב לעובד המוסמך, והכול אלא אם כן הורה העובד המוסמך אחרת.

(2) המנהל המוסמך רשאי, לפי בקשה בכתב מאת הספק, אם שוכנע כי קיימות נסיבות חריגות המצדיקות זאת, לפטור את הספק מחובת היידוע כאמור בפסקה (1) או לדחות את מועד היידוע.";

(5) אחרי סעיף 3 בא:

3א. הוראות סעיפים 2(א1), 2א ו–3(ב) לא יחולו לעניין ספק שהגיש לעובד המוסמך תצהיר בנוסח כאמור בסעיף 3(א)(3) או תצהיר בנוסח הקבוע בתוספת השנייה בדבר אספקת שירותי אחסון או שירותים דיגיטליים ללקוחותיו של הספק או בדבר אספקת שירותי תחזוקה, ניהול או בקרה של שירותים כאמור ללקוחותיו של הספק, תוך יישום הנחיות אבטחה בהתאם לתקנים כמפורט בתצהיר, לעניין כלל השירותים כאמור שהוא מספק, או לעניין השירותים כאמור שנגדם בוצעה התקיפה.";

(6) בסעיף 4, במקום "לפי סעיף 3" בא "לפי סעיפים 2(א1) או 3";

(7) בסעיף 6(ב), אחרי "בתקיפת הסייבר החמורה" בא "ולעניין תקיפת סייבר שנקבע, לפי הוראות סעיף 2, שהיא אינה תקיפת סייבר חמורה - בסמוך לאחר קבלת החלטה על כך שהתקיפה אינה מהווה תקיפת סייבר חמורה";

(8) בסעיף 8(א) -

(א) ברישה, אחרי "אחת לחודש" בא "ולעניין פסקאות (5) עד (7) - אחת לשבועיים";

(ב) בפסקאות (1) ו-(1א), במקום "סעיף 3(4)" בא "סעיף 3(א)(4)";

(ג) אחרי פסקה (4) בא:

"(5) מספר הספקים שנדרשו להציג למנהל מוסמך ידיעה או מסמך לפי הוראות סעיף 2(א1);

(6) מספר המקרים שבהם דיווח ספק, לפי הוראות סעיף 2א, על כך שמתרחשת נגדו תקיפת סייבר כאמור באותו סעיף;

(7) מספר המקרים שבהם הורה עובד מוסמך לספק שלא למסור לארגון מקושר עדכון בדבר תקיפת סייבר חמורה, לפי הוראות סעיף 3(ב)(1).";

(9) בתוספת, במקום "תוספת" בא "תוספת ראשונה";

(10) אחרי התוספת הראשונה בא: