חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה) (תיקון מס' 4), התשפ"ו-2025
מאז תחילתה של מלחמת "חרבות ברזל", החל מיום 7 באוקטובר 2023, ישנה עלייה בהיקף ובעוצמה של תקיפות הסייבר כנגד גופים אזרחיים במשק הישראלי. מטרת תקיפות סייבר אלו היא לפגוע, כחלק מהמתקפה המשולבת המכוונת כלפי חוסנה של מדינת ישראל, במרחב הסייבר הישראלי, בכלכלה ובתפקודו התקין של המשק הישראלי, והן אף עלולות להוביל לפגיעה בחיי אדם. עמדת גורמי המקצוע בנושא היא שתקיפות אלו הולכות והופכות מתוחכמות ומורכבות יותר.
ספקים של שירותי אחסון ושל שירותים דיגיטליים מהווים יעד מועדף לתקיפות סייבר, בין השאר, מאחר שהם מתאפיינים בחיבוריות גבוהה לגופים רבים במשק הישראלי. בשים לב לאמור, תקיפות סייבר חמורות כנגד ספקים אלה עלולות להביא לפגיעה בביטחון המדינה, בביטחון הציבור או בהבטחת רציפות אספקתם של שירותים החיוניים לציבור.
כדי להתמודד עם הצורך המתואר לעיל, התקינה הממשלה, ביום י"ד בכסלו התשפ"ד (27 בנובמבר 2023), את תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023, ובסמוך לכך, ביום י"ד בטבת התשפ"ד (26 בדצמבר 2023) חוקק החוק אשר החליף את תקנות שעת החירום – חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד-2023 (להלן – הוראת השעה).
הוראת השעה הוארכה שלוש פעמים וכן תוקנה ביום כ' באב התשפ"ה (14 באוגוסט 2025) והיא בתוקף עד ליום י"ג בשבט התשפ"ו (31 בינואר 2026).
נוכח ההערכות המקצועיות ביחס לחומרת איומי הסייבר העדכניים והסיכונים הנשקפים מהם, עמדת גופי הביטחון והסייבר היא שלאור מאפייניו הייחודיים של מרחב הסייבר הישראלי, הצורך בכלי התמודדות במרחב הסייבר נשמר. לפיכך, הכלים החיוניים, אשר הותקנו במסגרת הוראת השעה לצורך התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון, נדרשים לשם שמירה על ביטחון המדינה, בטחון הציבור והבטחת רציפות אספקתם של שירותים חיוניים לציבור. משכך, וכן כדי לאפשר את המשך הבחינה של אופן השימוש בכלים המוקנים בהוראת השעה ואת השלמת עבודת המטה לקראת קידומו של הסדר קבוע שיתן מענה לתקיפות חמורות כלפי ארגונים במגזר זה, מוצע להאריך את תוקפה של הוראת השעה לתקופה נוספת של שנה, עד ליום כ"ג בשבט התשפ"ז (31 בינואר 2027).
תזכיר חוק מטעם משרד ראש הממשלה:
|
תיקון סעיף 12 |
1. |
בחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה), התשפ"ד- 2023[1], בסעיף 12, במקום "עד יום י"ג בשבט התשפ"ו (31 בינואר 2026)" יבוא "עד יום כ"ג בשבט התשפ"ז (31 בינואר 2027)". |
דברי הסבר
ספקים של שירותי אחסון ושל שירותים דיגיטליים מהווים יעד מועדף לתקיפות סייבר, בין השאר, מאחר שהם מתאפיינים בחיבוריות גבוהה לגופים רבים במשק הישראלי. בשים לב לאמור, תקיפות סייבר חמורות כנגד ספקים אלה עלולות להביא לפגיעה בביטחון המדינה, בביטחון הציבור או בהבטחת רציפות אספקתם של שירותים החיוניים לציבור.
כדי להתמודד עם הצורך המתואר לעיל, התקינה הממשלה, ביום י"ד בכסלו התשפ"ד (27 בנובמבר 2023), את תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד-2023, ובסמוך לכך, ביום י"ד בטבת התשפ"ד (26 בדצמבר 2023) חוקק החוק אשר החליף את תקנות שעת החירום, חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה – חרבות ברזל), התשפ"ד-2023 (להלן – הוראת השעה). הוראת השעה הוארכה שלוש פעמים וכן תוקנה ביום כ' באב התשפ"ה (14 באוגוסט 2025) והיא בתוקף עד ליום י"ג בשבט התשפ"ו (31 בינואר 2026).
הוראת השעה מסמיכה מנהל מוסמך במערך הסייבר הלאומי, בשירות הביטחון הכללי או בממונה על הביטחון במערכת הביטחון (מלמ"ב) (להלן – הגופים), וכן מסמיכה את ראש חטיבת ההגנה בצה"ל, לקבוע כי תקיפת סייבר היא תקיפת סייבר חמורה, ככל שיש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או ברציפות אספקתם של שירותים חיוניים לציבור; ובהמשך לכך – נתונה לעובד מוסמך באחד הגופים הסמכות להודיע לספק על קיומו של חשש לתקיפת סייבר חמורה כנגדו. ככל שהספק לא הגיש תצהיר לפי הוראת השעה, וכן לא פעל באופן הולם ובתוך פרק זמן סביר שניתן לו לטיפול בתקיפת הסייבר החמורה, מסמיכה הוראת השעה את העובד המוסמך לתת לספק הנתקף הוראות לצורך איתור התקיפה, מניעתה או בלימתה, תוך שהוראת השעה קובעת תנאים למתן ההוראות כאמור.
נוכח המערכה נגד איראן שאירעה בחודש יוני 2025 ושבכללה החליטה ועדת השרים לענייני ביטחון לאומי על נקיטת פעולות צבאיות משמעותיות לפי סעיף 40 לחוק-יסוד: הממשלה ביום ט"ז בסיון התשפ"ה (12 ביוני 2025), ועל רקע הערכת הגופים ביחס לחומרת איומי הסייבר והסיכונים הנשקפים מהם והצורך המבצעי הדחוף בהקניית כלים חיוניים נוספים, הותקנו ביום כ"ז בסיון התשפ"ה (23 ביוני 2025) תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ה-2025 (להלן – תקנות שעת החירום) אשר הקנו לגופים כלים נוספים להתמודדות עם תקיפות סייבר חמורות במגזר.
ביום כ' באב התשפ"ה (14 באוגוסט 2025) חוקק תיקון להוראת השעה אשר האריך את תוקף הוראת השעה עד ליום י"ג בשבט התשפ"ו (31 בינואר 2026), ואשר עיגן בה את הכלים הנוספים אשר הותקנו בתקנות שעת החירום, ועיקרם סמכות מנהל מוסמך לדרוש ידיעות ומסמכים מספק במגזר השירותים הדיגיטליים ושירותי האחסון לטובת הכרעה בשאלה אם תקיפת סייבר היא תקיפת סייבר חמורה; חובת דיווח של ספק למנהל מוסמך על תקיפת סייבר משמעותית כנגדו; וחובת ספק נתקף בתקיפה חמורה ליידע ארגון מקושר אשר עלול להיפגע מן התקיפה באופן ישיר וממשי. בנוסף, התיקון ניתק את הזיקה של הוראת השעה לפעולות הצבאיות המשמעותיות, שעל נקיטתן החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף 40 לחוק-יסוד: הממשלה, בסמוך לאחר אירועי ה-7.10.2023, כך שהפעלת הסמכויות מכוח הוראת השעה אינה תלויה במצב הלחימה.
נוכח מאפייניו הייחודיים של מרחב הסייבר ונוכח ההערכות המקצועיות ביחס לחומרת איומי הסייבר במגזר השירותים הדיגיטליים והסיכונים הנשקפים מהם, עמדת הגופים היא שחיוני לשמר את כלי ההתמודדות שנקבעו בהוראת השעה. הכלים החיוניים, אשר נקבעו במסגרת הוראת השעה לצורך התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון, נדרשים לשם שמירה על ביטחון המדינה, בטחון הציבור והבטחת רציפות אספקתם של שירותים החיוניים לציבור. בנוסף, עמדת גורמי המקצוע היא כי נדרש להמשיך לבחון את אופן השימוש בכלים המוקנים בהוראת השעה, לצורך השלמת עבודת המטה לקביעת הסדר קבוע בנושא. לאור כך, מוצע להאריך את תוקפה של הוראת השעה לתקופה נוספת של שנה, עד ליום כ"ג בשבט התשפ"ז (31 בינואר 2027).