חוק הסייבר בדרך. מה זה אומר לעסק שלכם?

שנת 2025 הייתה שנת שיא לתקיפות סייבר בישראל. ישראל מדורגת כיום במקום השלישי בעולם במדינות המותקפות ביותר בתחום הסייבר והמלחמה היא רק אחת מהסיבות לכך. רק ב-2025 הגיעו הנזקים למיליארדי שקלים בישראל בלבד. עד היום, הממשלה ומרכז הסייבר עדיין לא יצרו חוק אחד ומקיף שמסדיר את חובות הגנת הסייבר של עסקים וארגונים.

בינואר 2026 הציגה הממשלה לעיון את תזכיר חוק הגנת הסייבר הלאומי, התשפ"ו-2026. מטרתה: איחוד ועיגון מסודר של הפיקוח הלאומי על הגנת הסייבר. לא עוד מסמך מדיניות, אלא הצעת חוק של ממש. כשזו תעבור, עסקים רבים (ובמיוחד כאלו שפועלים אונליין) יצטרכו להתאים את עצמם אליה.

למה עכשיו, ומה הבעיה שהחוק בא לפתור?

הניסיונות לחוקק חוק סייבר החלו עוד ב-2011. החקיקה נעצרה בגלל כל מיני סיבות דוגמת ביקורת, פוליטיקה, בחירות וקורונה. היום, בעקבות המלחמה, כנראה הובן שאי אפשר עוד להמתין. תקיפות סייבר על בתי חולים, ספקי תשתיות, חברות לוגיסטיקה וגופים פיננסיים חשפו כמה אנחנו פגיעים.

מטרת התזכיר היא לאפשר הגנה לאומית טובה יותר על תפקוד רציף ובטוח של מרחב הסייבר הישראלי.

מה כולל החוק?

החוק מחיל את עצמו על מה שמוגדר כ'ארגון חיוני'. כלומר, גופים ממשלתיים וארגונים פרטיים מסויימים בסקטורים קריטיים (אנרגיה, מים, תחבורה, בתי חולים, שירותי אחסון מידע ועוד).

התזכיר מטיל שורת חובות על ארגון חיוני. בין היתר מדובר בעמידה ברמת הגנת סייבר בסיסית וניהול סיכונים, היערכות לאירועי סייבר, רציפות תפקודית, הגנה על שרשרת האספקה, הדרכות שוטפות, תקנים ועוד.

ארגון חיוני יצטרך לדווח במהירות על 'תקיפת סייבר משמעותית'. הדיווח יבוצע למספר גופים (מערך הסייבר הלאומי, הרשות להגנת הפרטיות, ולרגולטור המגזרי הרלוונטי).

ארגונים חיוניים יידרשו לעמוד בסטנדרטים של ניהול סיכונים, הצפנה, בקרת גישה והגנה על שרשרת האספקה ובתקנים בינלאומיים. כנגדם, צפויות סנקציות מינהליות ופליליות אם יפרו חובות אלה. חשוב לנו לשים לב שהחובות יהיו גם אישיות, ויוטלו גם על בעלי תפקיד בארגון.

מה זה אומר לעסק שמתנהל ברשת?

כאן מגיע החלק שרוב ההתייחסויות לחוק מדלגות עליו: מה זה אומר על העסק שלי? (חברות תוכנה וטכנולוגיה, מסחר אלקטרוני ובכלל לעסקים שמתנהלים אונליין ומחזיקים מידע בענן).

גם אם לא כולם יהיו כפופים להוראות החוק, אין ספק שהסטנדרטים שייקבעו בו יהיו קו מנחה שחשוב להכיר ובמידה רבה להתאים את העסק שלכם אליו (במידת הסביר והיעיל כלכלית). בנוסף, אם אתם מספקים שירות כלשהו או תשתית לארגון שהוגדר כארגון חיוני, האחריות לכשלי סייבר תיפול גם עליכם, גם אם אתם עצמכם לא ארגון חיוני. אם אתם ספקי תוכנה, שירותי ענן או שירותים אחרים לארגון שיוגדר כחיוני, אתם תהיו כפופים לחוק גם אם לא יחול במישרין עליכם ובהתאם, תצטרכו לעדכן ולהתאים גם את החוזים שלכם מול הלקוחות שלכם.

במקרה כזה אתם גם תצטרכו לעמוד בדרישות אבטחה והגנת מידע שיותאמו לדרישות החוק.

בנוסף חשוב שתעברו על נהלי ארועי אבטחה אצלכם בארגון ועל נהלי הדיווח, ולבדוק שהם עודכנו והותאמו לדרישות החוק.

עוד רכיב שחשוב להיות מודע לו הוא הסמכות שניתנת למערך הסייבר (במקרי של ארועי תקיפה מקוונים) לקבל מהארגון שלכם כל חומר מחשב שהוא, כולל מידע על לקוחות ותצורות תשתית מחשוב.

אז מה עושים עכשיו?

החוק עדיין בשלבי הערות ציבור ובהחלט יתכן שיתוקן או יתעכב. אבל הניסיון מלמד שגם מה שמתעכב, בסוף מגיע. במקרה כזה, תמיד עדיף להיות מוכן מוקדם מאשר להיתפס בהפרה.

לכן:

• בדקו היכן אתם עומדים. האם הארגון שלכם עשוי להיכלל בהגדרת 'ארגון חיוני' או שמא אתם מעניקים שירותים לארגון כזה? כמו בנושאי פרטיות ובינה מלאכותית, גם כאן מיפוי מוקדם הוא הבסיס לכל היערכות.
• תבחנו בשנית את החוזים מול הלקוחות והספקים שלכם. שאלת האחריות בשרשרת האספקה חייבת לקבל התייחסות בחוזים שלכם (ולוודא שהם עוסקים גם בתרחישים של הפרת החובה שבחוק).
• גבשו מדיניות תגובה לאירועי סייבר. מדיניות כזו גם תסייע לכם לעמוד בדרישות החוק ולשמור עליו, גם תשמור עליכם וגם, כמובן, תעזור לכם במקרי ביקורת או אכיפה של החוק.
• תתייעצו עם עורך דין שמבין את הצומת בין דיני טכנולוגיה לבין הגנת הפרטיות. החוק נוגע בשלושה עולמות במקביל: הראשון – הטכנולוגיה והגנת הסייבר (ובוודאי כבר יש לכם מומחים שעוסקים בנושא). השני והשלישי הם משפטיים: הגנת הפרטיות והתמודדות חוזית, ורק עןורך דין שמכיר את הנושא יסייע לכם להתמודד עם המצב.