הצעת חוק לקריאה הראשונה

PDF 250,534 תווים המסמך המקורי ↗
רשומות הצעות חוק ה מ מ ש ל ה 2026 במאי27 1955 י"א בסיוון התשפ"ו עמוד 1334 ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸2026-הנידמה למסהצעת חוק הגנת הסייבר הלאומית, התשפ"ו הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1334 :מתפרסמת בזה הצעת חוק מטעם הממשלה 2026-הצעת חוק הגנת הסייבר הלאומית, התשפ"ו פרק א': הגדרות הגדרות .1 - בחוק זה ,מרחב הסייבר מהווה מרחב פעולה מערכתי כללי חוצה גבולות ורב־ממדי, המשמש תשתית אסטרטגית לפעילות אנושית, כלכלית וחברתית. מרחב זה הוא בעל השפעה מכרעת על תהליכים ומגמות ועל עיצוב פני התקשורת האנושית. בעשור האחרון הפך מרחב הסייבר לזירת עימות מרכזית, המציבה איומים הולכים וגוברים על מדינות וארגונים ברחבי העולם. איום זה הופך מוחשי במיוחד לנוכח התלות הכמעט מוחלטת של החברה והמשק המודרני במערכות דיגיטליות, וכן בשים לב לכך שתקיפות הסייבר הולכות והופכות ממוקדות, מתוחכמות ומורכבות יותר. מדינת ישראל היא אחת המדינות המותקפות ביותר בעולם במרחב הסייבר. מתחילת הלחימה במסגרת מלחמת "חרבות ברזל", שהחלה בכ"ב בתשרי התשפ"ד ), ניכרה עלייה משמעותית בהיקף2023 באוקטובר7( ובעוצמה של תקיפות הסייבר נגד גופים אזרחיים במשק ,הישראלי. מטרתן של תקיפות סייבר אלה היא לפגוע פעמים רבות כחלק מהמתקפה המשולבת המכוונת כלפי ,חוסנה של מדינת ישראל, במרחב הסייבר הישראלי בכלכלה ובתפקודו התקין של המשק הישראלי. תקיפות אלה אף עלולות להביא לפגיעה בחיי אדם, הן בשגרה והן בחירום. האיום בולט במיוחד בנוגע לארגונים חיוניים ,במגזרי המשק המרכזיים השונים דוגמת מגזר האנרגיה הבריאות, התחבורה, התקשורת ועוד, כמו גם ביחס לארגונים שונים במגזר השירותים הדיגיטליים ושירותי האחסון. מדובר בארגונים שפוטנציאל הפגיעה בהם, מעצם ,מהותם, חורג מהנזק העלול להיגרם לארגון הבודד שנתקף ועלול להביא לפגיעה רחבה יותר בציבור או במשק. בהקשר זה, הערכת הגורמים המקצועיים היא כי היקף תקיפות הסייבר האמורות לא יפחת, ולכן נדרשת חקיקה שתבטיח את ההגנה הנדרשת בסייבר על הארגונים, ועל ידי כך תבטיח הגנה גם על המשק, על החוסן הלאומי, על ביטחון המדינה, על ביטחון הציבור ועל רציפות אספקתם של שירותים חיוניים. על אף חומרת הסיכון הנשקף מתקיפות סייבר והנזקים שעלולים להיגרם מהן, כמו גם התועלת הברורה שבהתגוננות מפני תקיפות ומניעתן לעומת התמודדות עם השלכות התקיפה ועלויות ההתאוששות והשיקום לאחריה, ארגונים רבים במשק הישראלי לא נוקטים אמצעים מספקים להגנה בסייבר, בעיקר לנוכח אי־הפנמת הסיכון הגלום בתקיפות כאמור. הדבר מביא לעלייה משמעותית בהסתברות למתקפות סייבר מזיקות ובעלות השלכות קשות. לנוכח הסיכון וכשלי השוק, קיימת זה מכבר במרבית מדינות המערב אסדרה מתקדמת בתחום הגנת הסייבר. אסדרה כאמור קיימת במדינות דוגמת בריטניה, אוסטרליה וקנדה, וכן במדינות האיחוד האירופי. הדירקטיבה ) שהתקבלהNIS Directive( האירופית בנושא הגנת סייבר ומיושמת בהתאם ללוח2022 , עודכנה בשנת2016 בשנת )NIS2( הזמנים המדורג שנקבע בה. הדירקטיבה העדכנית הרחיבה את מספר המגזרים המפוקחים ואת היקף הגופים המפוקחים בכל מגזר, וכן חיזקה את סמכויות הפיקוח והאכיפה, זאת נוסף על החובות שכבר מוטלות על המדינות ,, ובהן גיבוש אסטרטגיית הגנת סייברNIS Directive מתוקף הקמת גופים לאומיים מוסמכים בתחום הסייבר וגיבוש אסדרה לתשתיות קריטיות וחיוניות. ,בישראל, על אף חשיבותו המכרעת של מרחב הסייבר ,בולטת בהעדרה מסגרת חקיקתית, ייעודית ומקיפה המסדירה את התחום בראייה לאומית. מצב זה יוצר פער משמעותי בין רמת האיום הגבוהה לבין ההגנה הנדרשת על נכסים ותשתיות בעלי חשיבות לאומית. סיכוני הסייבר בישראל והשלכותיהם האפשריות, ובהתאם לכך החיוניות של חקיקה לאומית הנדרשת לאסדרת תחום זה, קיבלו ביטוי, בין השאר, בדוחות שונים של מבקר המדינה. מטרת החוק המוצע היא להביא להגנה לאומית טובה ,יותר על תפקודו הרציף והבטוח של מרחב הסייבר הלאומי כחלק מחוסנה וביטחונה הלאומי של מדינת ישראל, בדגש על הגנת ארגונים חיוניים וספקי שירותים דיגיטליים ושירותי אחסון כהגדרתם המוצעת בחוק. החוק המוצע מבוסס על הצרכים והאיומים בראייה לאומית, על החלטות הממשלה ומדיניותה בתחום הגנת הסייבר, על התפיסה העומדת בבסיס החלטות הממשלה האמורות ועל הניסיון שנצבר מאז קבלתן, זאת בייחוד לנוכח לקחי מלחמת "חרבות ברזל" והלחימה מול איראן במסגרת מבצע "עם ומבצע "שאגת הארי" בחודשים2025 כלביא" בחודש יוני .2026 פברואר עד אפריל מדובר בהסדר המבוסס על ניהול סיכונים ואיזון ,רגולטורי בהתאם לרמת הסיכון הנשקפת בכל מגזר ומתמקד בעיקר במגזרים המצויים בליבת הרציפות התפקודית והעסקית של המשק בישראל ובארגונים חיוניים הפועלים בהם. ד ב ר י ה ס ב ר 1335הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ;1‏1975- לפקודת הראיות [נוסח חדש], התשל"א35 מוסד כהגדרתו בסעיף- ""ארגון ;)(א8 כמשמעותו בסעיף- ""ארגון חיוני ;20 ארגון שקבע שר הביטחון לפי סעיף- ""ארגון חיוני למערכת הביטחון לתוספת הראשונה לחוק להסדרת הביטחון בגופים3 ו־2 גוף המנוי בפרטים- ""גוף מונחה ;ציבוריים, וכן גוף המנוי בתוספת הרביעית או בתוספת החמישית לאותו חוק מערך הסייבר הלאומי, משרד הביטחון לרבות הממונה על- ""הגופים המיוחדים הביטחון במערכת הביטחון, צה"ל, שירות הביטחון הכללי, המוסד למודיעין ;ולתפקידים מיוחדים ומשטרת ישראל גוף כאמור בטור א' לתוספת השנייה, לרבות יחידותיו ויחידות הסמך- ""גוף ממשלתי למעט- "שלו, ולמעט גוף מהגופים המיוחדים וגוף מונחה; לעניין זה, "גוף מונחה משרד האוצר בנושא שקבעה הממשלה כאמור בתוספת החמישית לחוק להסדרת ;הביטחון שר המנוי בטור ד' לתוספת- ""גורם מאסדר של תחום הגנת הסייבר", "גורם מאסדר 'הראשונה, האמון על האסדרה של תחום הגנת הסייבר במגזר המנוי בטור א ;לצידו בהתאם לכך, מוצע לעגן בחוק את מסגרת האסדרה והפיקוח על הגנת הסייבר הלאומית, תוך עיגון רוחבי של סמכויות וכלי הגנת הסייבר של המאסדרים הממשלתיים השונים, קביעת עקרונות פעולה מוגדרים ומנגנוני פיקוח ואסדרה סדורים. זאת, תוך קביעת חובות שיוטלו על הארגונים, בדגש על הארגונים החיוניים, לפעול להגנת הסייבר, הן בהעלאת חוסן בשגרה לשיפור רמת המוכנות והן בעת התמודדות עם תקיפת סייבר. כל זאת, תוך הקפדה על שימור הגמישות הנדרשת בשל ההתפתחות הטכנולוגית המתמדת והשוני בין ארגונים. להשלמת התמונה יצוין כי החוק המוצע נועד להביא ,לאסדרה של הגנת הסייבר הלאומית בראייה כוללת כהשלמה להסדרה הלאומית הקיימת לעניין תשתית מדינה קריטית בהתאם לחוק להסדרת הביטחון בגופים ,) חוק להסדרת הביטחון- (להלן1998-ציבוריים, התשנ"ח ,וכן כהשלמה להסדרים החלים במגזרים השונים במשק אם קיימים. פרק א': הגדרות   ותוספות ראשונה ושנייה1 סעיף בסעיף זה מוצע להגדיר מונחים שונים שנעשה בהם שימוש בחוק המוצע. מוצע להגדיר את המונח "ארגון" בחוק המוצע ,] לפקודת הראיות [נוסח חדש35 כמוסד כהגדרתו בסעיף . לפי הגדרה מוצעת זו, ארגון הוא מונח1975-התשל"א הכולל את המדינה, רשות מקומית, וכן כל עסק או כל מי שמספק שירות לציבור. בהגדרה "הגופים המיוחדים" מוצע לכלול את משטרת ישראל, שירות הביטחון הכללי, המוסד למודיעין ולתפקידים מיוחדים, מערך הסייבר הלאומי ומשרד הביטחון לרבות הממונה על הביטחון במערכת הביטחון מלמ"ב) ויחידות הסמך של משרד הביטחון וצבא- (להלן ההגנה לישראל, אשר בהתאם למוצע, הוראות חוק זה לא יחולו עליהם. כמו כן, מוצע להגדיר "גוף מונחה" כגוף המנוי בפרטים לתוספת הראשונה לחוק להסדרת הביטחון, כלומר3– ו2 משרד הביטחון ו"מפעלי מערכת הביטחון" כפי שיוגדרו בצו בידי שר הביטחון, וכן גוף המנוי בתוספת הרביעית או בתוספת החמישית לחוק האמור. גם גופים מונחים מוחרגים על פי המוצע מהוראות החוק, והם ימשיכו להיות כפופים להוראות מכוח החוק להסדרת הביטחון שקובעות רמת הגנת סייבר גבוהה התואמות לרמת הסיכון בהם. המונחים "מגזר", "גורם מאסדר של תחום הגנת הסייבר" או "גורם מאסדר" ו"הרשות המוסמכת" יוצרים את התשתית לאסדרה הדיפרנציאלית של הגנת הסייבר בתחומי הפעילות השונים במשק, כמו גם בפעילות משרדי הממשלה. כך, לצד ההגדרה של "מגזר", מוצע לקבוע את הרשות המוסמכת, מנהל הרשות המוסמכת והגורם המאסדר שיפעלו ביחס לכל מגזר, הכול כפי שיפורט להלן. ,על פי המוצע, "מגזר" הוא תחום פעילות במשק המנוי בטור א' לתוספת הראשונה, או תחום פעילות משרדי הממשלה, כמפורט בטור א' לתוספת השנייה. על פי המוצע, ארגונים הפועלים במגזרים אלה, העומדים בתנאים המוצעים בתוספת השלישית, יוגדרו כארגונים חיוניים לעניין החוק המוצע. עוד מוצע להגדיר את המונח "גורם מאסדר של תחום הגנת הסייבר" בהתייחס למגזרים המנויים בתוספת ,הראשונה. על פי המוצע, גורם מאסדר כאמור הוא שר .421 ', עמ18 דיני מדינת ישראל, נוסח חדש 1 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1336 ; כהגדרתם בחוק המחשבים- ""חומר מחשב", "מחשב", "פלט" ו"תוכנה ;2‏1979- חוק האזנת סתר, התשל"ט- ""חוק האזנת סתר ;3‏1981- חוק הגנת הפרטיות, התשמ"א- ""חוק הגנת הפרטיות ;4‏1599- חוק המחשבים, התשנ"ה- ""חוק המחשבים , חוק להסדרת הביטחון בגופים ציבוריים- ""חוק להסדרת הביטחון בגופים ציבוריים ;5‏1998-התשנ"ח ;6‏1977- חוק העונשין, התשל"ז- ""חוק העונשין ;5 כמשמעותה בסעיף- ""יחידת סייבר מגזרית : כל אחד מאלה- ""מגזר ;תחום פעילות במשק המנוי בטור א' לתוספת הראשונה )1( ;תחום פעילות הממשלה, כמפורט בטור א' לתוספת השנייה )2( ; כהגדרתו בחוק הגנת הפרטיות- ""מידע אישי , עובד בכיר במערך הסייבר הלאומי, שדרגתו ראש אגף לפחות- ""מנהל בכיר במערך ;אשר ראש מערך הסייבר הלאומי הסמיך לעניין חוק זה , עובד בכיר ברשות מוסמכת שדרגתו ראש אגף לפחות- ""מנהל בכיר ברשות מוסמכת ;אשר מנהל הרשות המוסמכת הסמיך לעניין חוק זה המנהל או המנהל הכללי של רשות מוסמכת או גורם- ""מנהל הרשות המוסמכת אחר העומד בראש רשות מוסמכת, המנוי בטור ג' לתוספת הראשונה או לתוספת ;השנייה לצד אותה רשות המנוי בטור ד' לתוספת הראשונה, האמון על האסדרה של היבט הגנת הסייבר במגזר המנוי לצידו. מוצע להגדיר "רשות מוסמכת" כמשרד ממשלתי, יחידה ,או יחידת סמך במשרד כאמור או תאגיד שהוקם בחוק המנויים בטור ב' לתוספת הראשונה או השנייה, המוסמכים לעניין פעילות בתחום הגנת הסייבר של ארגונים הפועלים במגזר המנוי בטור א' לאותה תוספת. כלומר, הסמכויות יוקנו לרשות המוסמכת ביחס למגזר מסוים. יצוין כי בהתאם למוצע בתוספת השנייה, מערך הדיגיטל הלאומי יהיה "רשות מוסמכת" לעניין החוק ,המוצע, בכל הנוגע לפעילות של גופים ממשלתיים (כאמור למעט הגופים המיוחדים וגופים מונחים, ולעניין זה, "גוף למעט משרד האוצר בנושא שקבעה הממשלה- "מונחה )כאמור בתוספת החמישית לחוק להסדרת הביטחון שאינה נוגעת למידע מסווג. כמו כן מוצע למעט מהגופים הממשלתיים שמערך הדיגיטל יהיה הרשות המוסמכת לגביהם את משרד ראש הממשלה ואת משרד החוץ שמוצע לגביהם הסדר בסימן ה' בפרק ה' לחוק המוצע, וכן בתי חולים ממשלתיים אשר פועלים במגזר הבריאות שנכלל ), ולכן מהווים3 בתוספת הראשונה לחוק המוצע (פרט ארגון חיוני. על פי המוצע, "מנהל הרשות המוסמכת" הוא המנהל או המנהל הכללי של הרשות המוסמכת או גורם אחר העומד בראש רשות כאמור, המנוי בטור ג' לתוספת הראשונה או השנייה לצד אותה רשות. בין השאר, מוצע כי מנהל הרשות המוסמכת יסמיך עובדים מוסמכים מגזריים שיפעילו סמכויות פיקוח לפי החוק המוצע (ראו דברי ההסבר לפרק ד' לחוק המוצע). "נוסף על כך, מוצע להגדיר "מנהל בכיר במערך מערך הסייבר- כעובד בכיר במערך הסייבר הלאומי (להלן הלאומי או המערך) שדרגתו ראש אגף לפחות, שיוסמך לעניין החוק המוצע בידי ראש מערך הסייבר הלאומי ראש המערך).- (להלן "כמו כן, מוצע להגדיר "מנהל בכיר ברשות מוסמכת ,כעובד בכיר ברשות מוסמכת שדרגתו ראש אגף לפחות אשר מנהל אותה רשות מוסמכת הסמיך לעניין החוק המוצע. .118 'ס"ח התשל"ט, עמ 2 .128 'ס"ח התשמ"א, עמ 3 .366 'ס"ח התשנ"ה, עמ 4 .348 'ס"ח התשנ"ח, עמ 5 .226 'ס"ח התשל"ז, עמ 6 ד ב ר י ה ס ב ר 1337 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו מידע או מאגר מידע שתקיפת סייבר נגדו עלולה להביא- ""נכס מידע משמעותי ;לפגיעה חמורה בביטחון המדינה או בשלום הציבור : אחד מאלה- ""ספק שירותים דיגיטליים או שירותי אחסון ארגון שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים )1( חיבור פיזי או לוגי, קבוע או עיתי, או שמתבצעת העברת חומר מחשב קבועה או ;עיתית, ממחשביו למחשבי מקבל השירות ארגון שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי אחסון )2( ;או שירותים דיגיטליים ;7‏1968- לפקודת הנזיקין [נוסח חדש], התשכ"ח7 כהגדרתו בסעיף- ""עובד המדינה ;)(א6 כמשמעותו בסעיף- ""עובד מוסמך במערך ;)(ב6 כמשמעותו בסעיף- ""עובד מוסמך מגזרי נקודת תורפה במחשב או בחומר מחשב שאפשר לנצל לביצוע- ""פגיעות חמורה ), ושעובד המערך מצא כי בשל מאפייניה נוצרVulnerability( תקיפת סייבר ;סיכון משמעותי לתקיפת סייבר מתן הוראות למחשב בשפה קריאת מחשב לשם- ""פעולה להגנת סייבר בחומר מחשב הגנת סייבר, ובכלל זה הוראה לסריקה, לעיבוד או להסרה של חומר מחשב הנוגע ,לתקיפת סייבר, להתקנת תוכנה מסוג שפעולתו מוגבלת לרשת הארגון בלבד ;לחסימה או לניתוק של מחשב או ליצירת עותק של חומר המחשב ; צבא הגנה לישראל- ""צה"ל מנהל בכיר במערך הסייבר הלאומי ומנהל בכיר ברשות מוסמכת, מוסמכים בין השאר, לפי העניין, לקבל דיווחים של ארגונים חיוניים על תקיפות משמעותיות נגדם להצעת החוק; לקבוע שתקיפת12 בהתאם למוצע בסעיף סייבר היא תקיפה חמורה, לדרוש ידיעות ומסמכים לשם קבלת החלטה אם תקיפה היא תקיפה חמורה, ועוד. "עוד מוצע להגדיר את המונחים "עובד מוסמך במערך ו"עובד מוסמך מגזרי". עובדים אלה מקבלים את הסמכתם (א) ו–(ב) לחוק המוצע, בהתאמה.6 לפי סעיף מוצע לעשות שימוש במונחים שונים מחוק חוק המחשבים) ובהם- (להלן1599-המחשבים, התשנ"ה המונחים "חומר מחשב", "מחשב", "פלט", ו"תוכנה". זאת בשים לב לפרשנות של אותם מונחים כאמור מחוק המחשבים בפסיקה, אשר מייחסים משקל גם להתפתחות הטכנולוגית המהירה, ולהמשיך ולייחס משקל להתפתחות ,הטכנולוגית בפרשנות עתידית של מונחים אלה. כך נקבע בפסיקה כי בגדרי "מחשב" נכללים מגוון רחב של ,מכשירים דיגיטליים, לרבות טלפונים חכמים, מצלמות וכן רשת המחשבים ורכיבי תקשורת בין מחשבים. נוסף על כך, נקבע בפסיקה כי בגדרי "חומר מחשב" נכללים מגוון רחב של תכנים המאוחסנים במכשירים שונים, לרבות מידע דיגיטלי מכל סוג המעובד במערכות הממוחשבות גם אם הוא מוצג למשתמש בשפה אנושית וכן נתוני שליטה ותפעול של מערכות. כמו כן, נקבע בפסיקה כי בגדרי המונח "פלט" נכללים כל הנתונים המוצגים מתוך המחשב, בכל צורה שהיא, לרבות תמונות, וידאו ושמע, וכי בגדרי המונח "תוכנה" נכללים כלל היישומים והוראות ההפעלה המאפשרים את פעולת המחשב ועיבוד הנתונים בו וחלקי תוכנה שאינם באים לידי ביטוי בקוד הכתוב, בלא הבדל בין אוריך1758/20 צורות שונות של תוכנה (ראו לדוגמה בש"פ ' אוריך נ1062/21 ); דנ"פ26.1.2021 ,נ' מדינת ישראל (אר"ש מדינת ישראל6071/17 ); בש"פ11.1.2022 ,מדינת ישראל (נבו ' מדינת ישראל נ8464/14 ); רע"פ27.8.2017 ,נ' רונאל (נבו , צור נ' מדינת ישראל1242/06 ); ע"פ1.512.2015 ,עזרא (נבו פלד נ' מדינת223/524 ); בש"פ13.6.2007 , (נבו271 )2(פ"ד סב אשרז עיבוד נתונים2392/99 ‏)‏; ע"א1.512.2024 ,ישראל ‏(נבו ); ה"ס22.7.2003 , (נבו255 )5(בע"מ נ' טרנסבטון בע''מ, פ"ד נז )‏).8.3.2026 , בלוק נ' מדינת ישראל (נבו82202-07-25 על פי המוצע, "נכס מידע משמעותי" הוא מידע או מאגר מידע שתקיפת סייבר נגדו עלולה להביא לפגיעה בביטחון המדינה או בשלום הציבור. פגיעה במהימנות או בזמינות נכס מידע משמעותי או זליגתו, עלולות להיות בעלות השלכות הרות גורל על ביטחון המדינה או ביטחון הציבור. בהתאם, וכפי שיפורט להלן, אחת העילות שבהתקיימן תוטל חובה על ארגון חיוני לדווח על תקיפת סייבר משמעותית לרשות המוסמכת ולמערך הסייבר .266 ', עמ10 דיני מדינת ישראל, נוסח חדש 7 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1338 : כל אחת מאלה- ""רשות מוסמכת", "רשות משרד ממשלתי, יחידה או יחידת סמך במשרד כאמור או תאגיד שהוקם )1( בחוק, המנויים בטור ב' לתוספת הראשונה, אשר מוסמכים לעניין פעילות בתחום ;הגנת הסייבר של ארגונים הפועלים במגזר המנוי בטור א' לצידם 'משרד ממשלתי, יחידה או יחידת סמך במשרד כאמור, המנויים בטור ב )2( לתוספת השנייה, אשר מוסמכים לעניין פעילות בתחום הגנת הסייבר של ארגונים ;הפועלים במגזר המנוי בטור א' לצידם ; עירייה, מועצה אזורית או מועצה מקומית- ""רשות מקומית שירותי אחסון של חומר מחשב הניתנים בעבור אחר, או שירותי- ""שירותי אחסון ;אספקת תשתית לאחסון או לעיבוד של חומר מחשב : שירות שהוא אחד מאלה, הניתן בעבור אחר- ""שירותים דיגיטליים שירותי תוכנה, לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח )1( Cloud( ) באמצעות מחשוב ענןSAAS( של תוכנה, למעט תוכנה הניתנת כשירות ) על ידי ארגון שמחזור העסקאות השנתי שלו בישראל אינו עולה עלComputing ;5 מיליון שקלים חדשים שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה )2( ;וטכנולוגיות תקשורת שירותי עיבוד נתונים, הזנתם או שחזורם, התקנה והגדרת תצורה של )3( ;מחשבים, התקנת תוכנה או שירותי הגנת סייבר אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות )4( ;וציוד תעשייתי לחוק המוצע, היא שהתקיפה עלולה12 הלאומי, לפי סעיף להביא לפגיעה בנכס מידע משמעותי או לגישה של גורם 13 שאינו מורשה לנכס כאמור. נוסף על כך מוצע, בסעיף לחוק המוצע, לקבוע, כאחת החלופות להגדרת תקיפת סייבר כתקיפת סייבר חמורה, תקיפה שעלולה לאפשר גישה לגורם שאינו מורשה לנכס מידע משמעותי של ארגון חיוני. מוצע להגדיר "שירותי אחסון" כשירותי אחסון של חומר מחשב הניתנים בעבור אחר, או שירותי אספקת תשתית לאחסון או לעיבוד של חומר מחשב. כמו כן מוצע להגדיר "שירותים דיגיטליים" כאחד משורה של השירותים המנויים בהגדרה, הניתן בעבור אחר. בהמשך לכך, מוצע להגדיר מי ייחשב ל"ספק שירותים דיגיטליים או שירותי אחסון". על פי המוצע, "פגיעות חמורה" היא נקודת תורפה ,במחשב או בחומר מחשב שאפשר לנצל לביצוע תקיפת סייבר אשר עובד מערך הסייבר הלאומי מצא כי בשל מאפייניה נוצר סיכון משמעותי לתקיפת סייבר. יובהר כי בהפעלת שיקול דעתו, ייקח העובד בחשבון, בין השאר, את מאפייניה הטכנולוגיים של הפגיעות, קיומן של שיטות ואמצעים לניצולה לתקיפת סייבר או העדר שיטות ואמצעים למנוע את ניצולה לתקיפת סייבר, את שכיחותה הפוטנציאלית של הפגיעות ואת סוגי הארגונים שבהם היא עלולה להימצא. זאת, לצד שימוש בשיטות מקובלות בעולם לקביעת רמת ובפרסומים גלוייםCVSS החומרה של הפגיעות, דוגמת ) בעולם. כפי שיפורטVulnerabilities( לגבי ניצול פגיעויות 5 לחוק המוצע, מוצע לעגן בו0 להלן בדברי ההסבר לסעיף את פעילות מערך הסייבר הלאומי לאיתור פגיעויות חמורות המוכרות למערך ולמתן התרעה עליהן. כמו כן, מוצע להגדיר "פעולה להגנת סייבר בחומר מחשב" כמתן הוראות למחשב בשפה קריאת מחשב לשם הגנת סייבר, ובכלל זה הוראה לסריקה, לעיבוד או להסרה של חומר מחשב הנוגע לתקיפת סייבר, להתקנת תוכנה מסוג שפעולתו מוגבלת לרשת הארגון בלבד, לחסימה או לניתוק של מחשב או ליצירת עותק של חומר המחשב. כפי שיפורט להלן, הגדרה זו מתייחסת לסמכויות שיהיה ניתן להפעיל בנסיבות שבהן ארגון הותקף בתקיפה חמורה ולא פעל באופן הולם לצורך איתור התקיפה, מניעתה או בלימתה. מוצע להגדיר "תקיפת סייבר" כפעולה שנועדה לפגוע ,שלא כדין בשימוש במחשב או בחומר מחשב השמור בו ומוצע למנות שורה של פעולות שעשויות להיחשב לתקיפה כאמור. כפי שיפורט להלן, הגדרה זו מהווה את הבסיס להגדרת תקיפת סייבר משמעותית או תקיפת סייבר חמורה לפי החוק המוצע. ד ב ר י ה ס ב ר 1339הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו פעולה שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב-""תקיפת סייבר - השמור בו, לרבות ;שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו )1( ;מחיקת חומר מחשב, שינויו, שיבושו, פגיעה במהימנותו או הפרעה לשימוש בו )2( ; לחוק המחשבים4 חדירה שלא כדין לחומר מחשב, כהגדרתה בסעיף )3( ;האזנת סתר לתקשורת בין מחשבים, כמשמעותה בחוק האזנת סתר )4( גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך של 5) ( פגיעה בתהליך הזדהות, או הוצאה שלא כדין של מידע כאמור לרבות בדרך של ;העתקתו על ידי גורם כאמור הפרעה או מניעת נגישות של מחשב לרשת תקשורת. )6( פרק ב': מערך הסייבר הלאומי מערך הסייבר הלאומי .2 במשרד ראש הממשלה יפעל גוף מבצעי־טכנולוגי, שיהיה מופקד על קידום הגנת (א) הסייבר הלאומית, ובכלל זה, בהתאם לצורך, על תיאום והפעלה של מאמצי הגנת מערך הסייבר- הסייבר הלאומית ועל ביצוע של פעולות הנדרשות לכך (בחוק זה הלאומי או המערך). המערך יהיה עצמאי בהפעלת סמכויותיו לשם מילוי תפקידיו לפי חוק זה. (ב) ראש הממשלה הוא השר הממונה על מערך הסייבר הלאומי מטעם הממשלה. (ג) תפקידי מערך הסייבר הלאומי .3 - יפעל מערך הסייבר הלאומי, בין השאר2 לעניין סעיף (א) ;ליזום ולקדם מדיניות ואסטרטגיה לאומית בתחום הגנת הסייבר )1( ;לגבש תמונת מצב של רמת הגנת הסייבר הלאומית )2( פרק ב': מערך הסייבר הלאומי הגנת סייבר לאומית אפקטיבית מבוססת, בין 2 סעיף השאר, על ניהול ותכלול לאומי של תחום הגנת הסייבר, על מכלול היבטיו, בעשייה של כלל השותפים הנוגעים לעניין. להבדיל מטיפול מגזרי נפרד לשם כך, פועל מערך הסייבר הלאומי, למעלה מעשור, בכמה אפיקים ובהם ביצוע פעולות להגנה על המשק מפני תקיפות סייבר, קידום רמת ההגנה והחוסן בשגרה, תכלול הניהול הלאומי של מאמצי הגנת הסייבר, ועוד. עד כה הוסדרה עיקר פעילותו של מערך הסייבר הלאומי בהחלטות ממשלה, לרבות , שעניינה "קידום אסדרה2443 'בהחלטת ממשלה מס לאומית והובלה ממשלתית בהגנת הסייבר" מיום כ"ו החלטת- ) (להלן2015 בפברואר15( בשבט התשע"ה , שעניינה2444 ), בהחלטת ממשלה מספר2443 ממשלה "קידום ההיערכות הלאומית להגנת הסייבר" מיום כ"ו ,)2444 החלטה- ) (להלן2015 בפברואר15( בשבט התשע"ה ובחוק להסדרת הביטחון. מוצע לעגן בחוק המוצע את מסגרת הפעילות של )מערך הסייבר הלאומי, ובתוך כך לקבוע, בסעיף קטן (א לסעיף המוצע, שבמשרד ראש הממשלה יפעל גוף מבצעי־ ,טכנולוגי, שיהיה מופקד על קידום הגנת הסייבר הלאומית ובכלל זה, בהתאם לצורך, על תיאום והפעלה של מאמצי הגנת הסייבר הלאומית ועל ביצוע של פעולות הנדרשות לכך. כמו כן, למען הסר ספק, מוצע לקבוע במפורש, בסעיף קטן (ב) לסעיף המוצע, כי המערך יהיה עצמאי בהפעלת סמכויותיו לשם מילוי תפקידיו. עוד מוצע לקבוע בסעיף קטן (ג) לסעיף המוצע כי ראש הממשלה הוא השר הממונה על מערך הסייבר הלאומי מטעם הממשלה. ,במסגרת הסדרת פעילות מערך הסייבר הלאומי 3 סעיף ,מוצע לקבוע, בסעיף קטן (א) לסעיף המוצע תפקידים שימלא המערך. בין השאר, מוצע כי המערך ייזום ויקדם מדיניות ואסטרטגיה לאומית בתחום הגנת הסייבר )), וכן יגבש תמונת מצב של רמת הגנת הסייבר1( (פסקה ,)). תמונת מצב זו תגובש, בין השאר2( הלאומית (פסקה בתיאום עם הגורמים הנוגעים לעניין. תפקיד נוסף של המערך הוא, על פי המוצע, לפעול לחזק את החוסן הלאומי בהיבטי הגנת סייבר, ובכלל זה את המוכנות לתקיפות סייבר, ולשפר את ההתמודדות )). זאת, גם לעניין3( של המשק עם תקיפות סייבר (פסקה סיכונים בתחום הסייבר דוגמת תקיפות סייבר ופגיעויות. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1340 לחזק את החוסן הלאומי בהיבטי הגנת סייבר, ובכלל זה את המוכנות )3( ;לתקיפות סייבר, ולשפר את ההתמודדות של המשק עם תקיפות סייבר ,להעלות את המודעות בקרב הציבור להתנהגות בטוחה במרחב הסייבר )4( ) סיכוני סייבר- ולפרסם לציבור התרעות על סיכונים בתחום הסייבר (בחוק זה ;והמלצות להעלאת רמת הגנת הסייבר ;לקדם ולעודד פיתוח ידע ופתרונות בתחום הגנת הסייבר הלאומית 5) ( ;לקדם בחינה והטמעה של טכנולוגיות חדשות להגנת סייבר )6( לקדם שיתוף פעולה בתחום הגנת הסייבר במישור הבין־לאומי, בין השאר )7( ;באמצעות כריתת הסכמי שיתוף פעולה בתחום הגנת הסייבר לייעץ לראש הממשלה ולממשלה בתחום הגנת הסייבר. )8( - לצורך ביצוע תפקידיו, מערך הסייבר הלאומי, בין השאר (ב) Computer( יפעיל מרכז לאומי לסיוע בהתמודדות עם אירועי סייבר )1( ,), הכולל, בין השארCERT– ה- ) (להלןEmergency Response Team - CERT מרכז לקבלת דיווחים על תקיפות סייבר ופניות שעניינן הגנת סייבר, ומרכז לאומי National Security Operations Center -( לשליטה ובקרה על סיכוני סייבר ;)NSOC– ה- ) (להלןNSOC ינחה מקצועית את יחידות הסייבר המגזריות, בין השאר לעניין אופן היישום )2( ,השנתי והרב־שנתי של המדיניות והאסטרטגיה הלאומית בתחום הגנת הסייבר לצורך שיפור רמת הגנת הסייבר במגזר שהן פועלות בו, ולעניין ההתמודדות במגזר עם תקיפות סייבר חמורות, ובכלל זה יפעל, בהתאם לכל דין או הסכם, לשתף - עימן תמונת מצב של רמת הגנת הסייבר הלאומית שגובשה לפי סעיף קטן (א) ;)2()(א עוד מוצע כי המערך יפעל להעלות את המודעות בקרב הציבור להתנהגות בטוחה במרחב הסייבר, ולפרסם סיכוני- לציבור התרעות על סיכונים בתחום הסייבר (להלן )).4( סייבר) והמלצות להעלאת רמת הגנת הסייבר (פסקה נוסף על כך, מוצע כי המערך יפעל לקדם ולעודד פיתוח ,))5( ידע ופתרונות בתחום הגנת הסייבר הלאומית (פסקה ולקדם בחינה והטמעה של טכנולוגיות חדשות להגנת )). יצוין כי תפקיד זה נדרש לנוכח קצב6( סייבר (פסקה התפתחות הטכנולוגיה המשפיע על היכולות ועל הדרכים לביצוע תקיפות במרחב הסייבר, הצורך להבטיח את המשך הימצאותה של מדינת ישראל בחזית הטכנולוגית העולמית של הגנת סייבר וכן לנוכח התפתחויות טכנולוגיות נוספות המשפיעות על תחום הגנת הסייבר, דוגמת התפתחות הבינה המלאכותית והמחשוב הקוואנטי. תפקיד נוסף של המערך הוא לפעול לקדם שיתוף פעולה בתחום הגנת הסייבר במישור הבין–לאומי, בין השאר, באמצעות כריתת הסכמי שיתוף פעולה בתחום )). זאת, בהתאם לכללים ולנהלים7( הגנת הסייבר (פסקה הרלוונטיים ולפרקטיקה המקובלת בתחום, לרבות התקנון לעבודת הממשלה והנחיית היועצת המשפטית לממשלה –, שעניינה "התקשרות המדינה בהסכמים בין10.300 מספר לאומיים ועבודה משפטית במסגרת גופים בין–לאומיים". לבסוף, מוצע למנות בסעיף את תפקידו של המערך כגורם שמייעץ לראש הממשלה ולממשלה בתחום הגנת )).8( הסייבר (פסקה עוד מוצע לעגן בחוק המוצע את פעילות המרכז Computer( הלאומי לסיוע בהתמודדות עם אירועי סייבר )CERT– ה- ) (להלןEmergency Response Team כחלק מהפעילות שהמערך מבצע לצורך מילוי תפקידיו. על פי המוצע, המרכז האמור כולל, בין השאר, מרכז לקבלת דיווחים על תקיפות סייבר ופניות שעניינן הגנת סייבר, ומרכז לאומי לשליטה ובקרה על סיכוני סייבר )NSOC - National Security Operations Center( ).NSOC– ה- (להלן נוסף על כך, ובמסגרת עיגון האסדרה הלאומית של תחום הגנת הסייבר בחוק המוצע, מוצע לקבוע שלשם ביצוע תפקידיו, מערך הסייבר הלאומי ינחה מקצועית את ) לסעיף2()יחידות הסייבר המגזריות, כמפורט בסעיף קטן (ב ,המוצע, וכן יפעל לשתף עימן, בהתאם לכל דין והסכם ד ב ר י ה ס ב ר 1341 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו הערכות מקצועיות של המערך ומידע, ובכלל זה מידע על תקיפות (ב) סייבר והתרעות, לרבות התרעות לעניין פגיעויות חמורות, שהמערך מצא ;כי הם נדרשים להגנת הסייבר באותו מגזר אמצעים טכנולוגיים העומדים לרשות המערך, שהמערך מצא כי הם (ג) נדרשים להגנת הסייבר באותו מגזר. ראש מערך הסייבר הלאומי .4 ,הממשלה, לפי הצעת ראש הממשלה, תמנה את ראש מערך הסייבר הלאומי (א) .8‏1959-בהתאם להוראות חוק שירות המדינה (מינויים), התשי"ט ראש מערך הסייבר הלאומי מופקד על ניהול המערך ועל ביצוע תפקידיו, ויהיו (ב) נתונות לו כל הסמכויות הנתונות בחוק זה לעובדי המערך. ראש מערך הסייבר הלאומי רשאי לאצול למנהל בכיר במערך סמכות הנתונה לו (ג) (א).11 לפי חוק זה, למעט הסמכות לפי סעיף פרק ג': יחידת סייבר מגזרית יחידת סייבר מגזרית 5. ברשות מוסמכת תפעל יחידה שמטרתה קידום הגנת הסייבר במגזר שבתחום פעילותה - של הרשות, בהתאם להנחיה המקצועית של מערך הסייבר הלאומי, ובין תפקידיה לפעול לשיפור רמת הגנת הסייבר במגזר בהתאם למדיניות ולאסטרטגיה הלאומית )1( בתחום הגנת הסייבר, בין השאר באמצעות קידום קביעתם, בידי הגורם הממונה ברשות המוסמכת מכוח סמכות הנתונה לו לפי דין, של חיקוקים, הוראות או הנחיות מקצועיות ;בתחום האמור, שיחולו לעניין ארגונים במגזר או חלק ממנו ;למפות באופן שוטף את הארגונים החיוניים במגזר )2( תמונת מצב של רמת הגנת הסייבר הלאומית, הערכות מקצועיות של המערך ומידע, ובכלל זה מידע על תקיפות סייבר והתרעות שהמערך מצא כי הם נדרשים להגנת הסייבר באותו מגזר, וכן אמצעים טכנולוגיים העומדים לרשות המערך אם מצא שהם נדרשים להגנת הסייבר באותו מגזר. יובהר כי אין באמור לעיל כדי לגרוע מתפקידים שממלא מערך הסייבר הלאומי מכוח הוראות של דינים אחרים, ובכלל זה החוק להסדרת הביטחון, וכן מכוח החלטות הממשלה, כגון תפקידו של המערך לשמש נקודת ממשק מרכזית בין גופי הביטחון לבין הגורמים במשק. מוצע לקבוע בסעיף קטן (א) לסעיף המוצע שראש 4 סעיף ,מערך הסייבר הלאומי ימונה על ידי הממשלה לפי הצעת ראש הממשלה, בהתאם להוראות חוק שירות חוק שירות- (להלן1959-המדינה (מינויים), התשי"ט המדינה (מינויים)). יצוין כי חוק זה אינו גורע מהחלטת ממשלה מספר ), שעסקה2017 בדצמבר17( מיום כ"ט בכסלו התשע"ח3270 במבנה הארגוני ובתפקידים ותנאי שכר במערך הסייבר ), ונקבע בה, בין3270 החלטת ממשלה- הלאומי (להלן השאר, כי ראש המערך יהיה בעל מומחיות, רקע וניסיון בתחומים הנוגעים לענייני הסייבר של מדינת ישראל. כמו כן, נקבע בהחלטת הממשלה האמורה פטור מחובת המכרז לחוק21 הפומבי למשרת ראש המערך, בהתאם לסעיף שירות המדינה (מינויים). עוד נקבע שמינוי ראש המערך יהיה בידי ראש הממשלה, באישור הממשלה, לאחר קבלת חוות דעתה של ועדת המינויים בכל הנוגע לכישוריו של המועמד והתאמתו למשרה בהתאם להחלטת הממשלה , שעניינה "משרות שהמינוי להן נעשה על ידי345 מספר לחוק21 פטור ממכרז לפי סעיף- הממשלה או באישורה " מיום ד' בתשרי1959-שירות המדינה (מינויים), התשי"ט ).1999 בספטמבר14( התש"ס נוסף על כך, מוצע לקבוע בסעיף קטן (ב) לסעיף המוצע ,שראש המערך מופקד על ניהול המערך ועל ביצוע תפקידיו ושיהיו נתונות לו כל הסמכויות הנתונות בחוק המוצע לעובדי המערך. בסעיף קטן (ג) לסעיף המוצע, מוצע לאפשר לראש המערך לאצול למנהל בכיר במערך את סמכויותיו ,לפי החוק המוצע, למעט הסמכות לתת, בנסיבות מסוימות הוראות דחופות למניעת סיכון סייבר משמעותי בארגון לחוק המוצע, לרבות באופן שבו הוחל11 חיוני לפי סעיף לחוק המוצע.21 לפי סעיף פרק ג': יחידת סייבר מגזרית מודל האסדרה הממשלתי הקיים בישראל 5 סעיף בתחום הגנת הסייבר, המבוסס בעיקרו על ,, הוא במהותו מודל מבוזר ברובו2443 החלטת ממשלה המקנה בעיקרו אחריות למאסדרים בקידום הגנת הסייבר .86 'ס"ח התשי"ט, עמ 8 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1342 לרכז את הנתונים לגבי רמת הגנת הסייבר בארגונים החיוניים במגזר, ולהעבירם )3( ;למערך באופן שוטף, ולכל הפחות אחת לרבעון לוודא שמבוצע פיקוח על ביצוע הוראות החוק וכן לוודא את קיומו של מנגנון )4( ;לאכיפת ההוראות לפי החוק, לגבי המגזר לפעול להנחיית ארגונים חיוניים במגזר לגבי טיפול בתקיפות סייבר חמורות, לרבות 5) ( ;'בדרך של מתן הוראות לארגון כאמור בידי הגורם המוסמך לכך לפי סימנים ג' ו־ד' לפרק ה לקדם תהליכים של שיתוף מידע וידע מקצועי הנוגעים להגנת סייבר במגזר, בכפוף )6( , לרבות באמצעותNSOC–לכל דין, בין השאר בדרך של שיתוף מידע וידע כאמור עם ה ) במגזרSecurity Operations Center( הפעלת מרכז לשליטה ובקרה על סיכוני סייבר ;) מגזריSOC - (להלן ,לפעול להעלאת המודעות לסיכוני סייבר במגזר, ולפרסם, בהתייעצות עם המערך )7( ;התרעות על סיכוני סייבר והמלצות להעלאת רמת הגנת הסייבר במגזר להכין תוכנית עבודה שנתית או רב־שנתית, בין השאר בהתאם לעקרונות שהתווה )8( המערך, ולאחר התייעצות עם המערך; תוכנית כאמור תאושר בידי מנהל הרשות ;המוסמכת והעתק ממנה יועבר למערך ,להכין סיכום שנתי בדבר פעילות היחידה, שיכלול, בין השאר, את הנתונים שלהלן 9) ( :ויועבר למערך ;)3(–) ו2( נתונים בעניינים האמורים בפסקאות (א) ,נתונים בדבר פעולות לפיקוח ואכיפה שבוצעו כלפי ארגונים חיוניים במגזר (ב) ;ובכלל זה הליכים להטלת עיצום כספי על ארגונים כאמור ;)7(–) ו6( נתונים בדבר פעולות שבוצעו לפי פסקאות (ג) ;, נגד ארגונים במגזר13 נתונים על תקיפות סייבר חמורות כהגדרתן בסעיף (ד) .15 או14 נתונים על הוראות שניתנו לארגונים במגזר לפי סעיפים (ה) במגזר שהם אמונים על אסדרתו. הניסיון הנצבר מאז , מלמד שקיימת2015 התקבלה ההחלטה האמורה בשנת שונות רבה בין התשומות, המשאבים, היכולות והכלים שהמאסדרים השונים משקיעים בתחום הגנת הסייבר. שונות זו מביאה, בין השאר, לפערים ניכרים במצב הגנת הסייבר במגזרים שונים במשק. במהלך עבודת מטה :שנערכה במסגרת גיבוש הצעת חוק זו, נבחנו שתי חלופות מעבר למודל לאומי ריכוזי מובהק, שבו כלל- האחת - הסמכויות נתונות בידי מערך הסייבר הלאומי; והשנייה עיגון המודל הקיים, תוך מתן מענה לפערים הקיימים ודגש על תכלול לאומי בתחום הגנת הסייבר. בשים לב להיכרות המעמיקה של המאסדרים עם המגזרים שהם אמונים על אסדרתם, הוחלט לשמר ולעגן בחוק את המודל המבוזר , תוך שימור, עיגון וחידוד2443 שהותווה בהחלטת ממשלה של מודל ההנחיה הלאומי, לרבות ההנחיה המקצועית של מערך הסייבר הלאומי את היחידות המגזריות, הכול בשים לב לכך שהמערך הוא הגורם המדינתי בעל המיומנות והידע בתחום הגנת הסייבר, המחזיק בתמונה הלאומית הכוללת בתחום. בהתאם, במסגרת האסדרה הלאומית של תחום הגנת הסייבר, מוצע, בין השאר, לעגן בחוק את ההסדר שלפיו ברשות מוסמכת תפעל יחידה שמטרתה קידום הגנת ,הסייבר במגזר שבתחום פעילותה של הרשות המוסמכת וזאת בהתאם להנחיה המקצועית של מערך הסייבר 9) של( ) עד1( יחידה מגזרית). בפסקאות- הלאומי (להלן 5 לחוק המוצע, מוצע למנות באופן מפורט את עיקרי סעיף התפקידים שעל יחידות כאמור למלא, ויובהר כי הן עשויות למלא תפקידים נוספים, בהתאם לצורכי המגזר המסוים שלגביו הן פועלות. ד ב ר י ה ס ב ר 1343 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו פרק ד': עובדים מוסמכים עובד מוסמך במערך הסייבר הלאומי ועובד מוסמך מגזרי .6 ראש מערך הסייבר הלאומי רשאי להסמיך מקרב עובדי המערך, עובד, אחד או (א) יותר, שיהיו נתונות לו הסמכויות הנתונות לעובד מוסמך במערך לפי חוק זה, כולן או חלקן, לשם ביצוע הוראות חוק זה. ,מנהל הרשות המוסמכת רשאי להסמיך מקרב עובדי הרשות עובד, אחד או יותר (ב) ,שיהיו נתונות לו הסמכויות הנתונות לעובד מוסמך מגזרי לפי חוק זה, כולן או חלקן לשם ביצוע הוראות חוק זה. תנאים להסמכת עובד מוסמך .7 :לעובד מוסמך במערך או לעובד מוסמך מגזרי, יוסמך רק מי שמתקיימים בו כל אלה ,משטרת ישראל הודיעה, לא יאוחר משלושה חודשים מיום קבלת פרטי העובד )1( ;כי היא אינה מתנגדת למינויו מטעמים של ביטחון הציבור, לרבות בשל עברו הפלילי הוא קיבל הכשרה מתאימה בתחום הסמכויות שיהיו נתונות לו לפי חוק זה, כפי )2( ;שהורה ראש מערך הסייבר הלאומי מנהל הרשות המוסמכת מצא שהוא בעל הידע והכישורים הנדרשים למילוי )3( תפקידו בצורה נאותה, ובכלל זה ידע מעמיק בהגנת סייבר. פרק ה': אסדרה לאומית בתחום הגנת הסייבר סימן א': ארגון חיוני מהו- ארגון חיוני .8 :ארגון חיוני הוא גוף שמתקיים לגביו אחד מאלה (א) פרק ד': עובדים מוסמכים (א) לחוק המוצע, מוצע לקבוע שראש6 בסעיף 6 סעיף מערך הסייבר הלאומי יוכל להסמיך מקרב עובדי המערך, עובד, אחד או יותר, שיהיו נתונות לו הסמכויות הנתונות לעובד מוסמך במערך לפי החוק המוצע, כולן או חלקן, זאת לשם ביצוע הוראות החוק המוצע, דוגמת סמכות למתן הוראות שתהיה נתונה לעובד מוסמך במערך לחוק המוצע.16 בהתקיים התנאים הקבועים בסעיף עוד מוצע כי מנהל רשות מוסמכת, יהיה רשאי להסמיך מקרב עובדי הרשות, עובד אחד או יותר, שיהיו נתונות לו הסמכויות הנתונות לעובד מוסמך מגזרי לפי החוק המוצע, כולן או חלקן, ויובהר כי העובדים האמורים יוכלו להפעיל את סמכויותיהם רק לתכלית של ביצוע הוראות החוק המוצע במגזר שהרשות המוסמכת (שמנהלה הסמיך אותם) פועלת לגביו. בסמכויות האמורות ניתן לציין את הסמכות לדרישת ידיעות ומסמכים שיש בהם לחוק23 כדי להבטיח את ביצוען של ההוראות לפי סעיף לחוק המוצע24 המוצע; סמכות כניסה למקום לפי סעיף 9(ב) עד (ה) לחוק לשם פיקוח על עמידה בהוראות סעיף ,המוצע שעניינו רמת הגנת סייבר בארגונים חיוניים לחוק המוצע שעניינו חובת דיווח12 ובהוראות סעיף על תקיפת סייבר משמעותית נגד ארגון חיוני; או סמכות לתת הוראות לארגון חיוני בעת תקיפת סייבר חמורה לפי המוצעים, לפי העניין. מובהר כי15– ו14 הוראות סעיפים במסגרת המודל הלאומי המבוזר, פעולות הפיקוח כלפי ארגונים חיוניים, כמו גם הטלת עיצומים עליהם, ייעשו על ,ידי עובדים מוסמכים מגזריים ברשויות המוסמכות, בלבד ולא בידי עובדים מוסמכים במערך, אלא אם כן המערך הוא הרשות המוסמכת לגבי אותו מגזר. כדי להבטיח שהפעלת הסמכויות לפי החוק 7 סעיף המוצע תיעשה בידי עובדים בעלי כשירות ומיומנים לכך, מוצע לקבוע כי יוסמך לעובד מוסמך במערך או לעובד מוסמך מגזרי, רק מי שמתקיימים בו התנאים ), שעניינם אישור משטרה3( ) עד1( המנויים בפסקאות )), קבלת הכשרה מתאימה בתחום הסמכויות1( (פסקה )) והחזקה בידע וכישורים שמתאימים לדעת מנהל2( (פסקה הרשות המוסמכת למילוי התפקיד, ובכלל זה ידע מעמיק )). על פי המוצע, ההכשרה הנדרשת3( בהגנת סייבר (פסקה כאמור בתחום הסמכויות, ובכלל זה תוכנה והיקפה, תיקבע בידי ראש המערך. פרק ה': אסדרה לאומית בתחום הגנת הסייבר סימן א': ארגון חיוני כאמור, החוק המוצע בא להסדיר, בין השאר, את 8 סעיף פעילותם של ארגונים חיוניים למשק בהיבטי ותוספת הגנת סייבר, בחלוקה למגזרים השונים. בכלל שלישית זה, מבקש החוק המוצע להבטיח כי ארגון חיוני ינקוט את הפעולות הדרושות להבטחת רמת הגנת הסייבר הנדרשת לפי החוק, ידווח על תקיפות סייבר משמעותיות נגדו ויתמודד כנדרש עם תקיפות כאמור. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1344 ;הוא גוף ממשלתי )1( הוא ארגון הפועל במגזר או בתת־מגזר המנוי בטור א' או ב' לתוספת )2( השלישית, שמתקיימים לגביו התנאים המפורטים בטור ג' לצידו, למעט גוף מונחה או ארגון שגורם מאסדר קבע, לפי הוראות סעיף קטן (ב), שלא יראו אותו לעניין ;חוק זה כארגון חיוני הוא ארגון שגורם מאסדר קבע לפי הוראות סעיף קטן (ב) שיראו אותו לעניין )3( חוק זה כארגון חיוני. )(ב גורם מאסדר רשאי, בהחלטה מנומקת בכתב ולאחר שנתן לארגון הזדמנות )1( להשמיע את טענותיו, לקבוע כי ארגון הנמנה עם מגזר או עם תת־מגזר המנוי בטור א' או ב' לתוספת השלישית, שהגורם המאסדר אמון על האסדרה של תחום הגנת הסייבר בו, שאינו גוף מונחה או ארגון חיוני במגזר אחר, יראו אותו לעניין חוק זה ,כארגון חיוני אף על פי שלא מתקיימים לגביו התנאים המפורטים בטור ג' לצידו - אם מצא כי מתקיימות נסיבות חריגות המצדיקות קביעה כאמור, בהתחשב המגזרים שמוצע לכלול בשלב זה בהסדר המוצע ;בחוק, נוסף על משרדי הממשלה, הם: תקשורת; אנרגיה ;מים וביוב; בריאות; כימיקלים, רעלים וחומרים מסוכנים תחבורה; רשויות מקומיות; מזון ואספקת מוצרים ושירותים חיוניים; שירותים דיגיטליים ושירותי אחסון; וחקלאות. מגזרים אלה מצויים בליבת הרציפות התפקודית והעסקית של המשק בישראל. ההצעה לקבוע שארגונים מסוימים הפועלים במגזרים אלה ייחשבו לארגונים חיוניים לפי החוק המוצע, נשענת על כמה שיקולים, ובהם: מידת החיוניות של המגזר ביחס לרציפות התפקודית של המשק; מידת הבולטות שלו בהשוואה בין–לאומית; איום הייחוס; קיומה של תשתית אסדרתית הולמת במגזר להגנת סייבר; וכן שיקולים של ישימות תפעולית, לנוכח היותו של ההסדר המוצע בחוק הסדר ראשון מסוגו בישראל. ככלל, מספר המגזרים שמוצע לכלול בהסדר המוצע בחוק נמוך ממספר המגזרים שכלולים בהסדרים דומים במדינות האיחוד האירופי. פער זה נובע מאימוץ גישה של אסדרה הדרגתית, ממוקדת ודיפרנציאלית, השואפת לאיזון רגולטורי המתאים לעת הנוכחית. בעוד הדירקטיבה ) שואפת להרמוניזציה רחבה וכוללת2NIS( האירופית ,באסדרה גם מגזרים כגון מחקר וייצור של מוצרים שונים המודל הישראלי מבקש לתת בשלב זה מענה ראשוני ודחוף לעניינים הנמצאים בליבת התפקוד של המשק ולשירותים שהפגיעה בהם עלולה להביא לנזק רחב. כמו כן יצוין כי הרחבת המגזרים המאוסדרים תחת הדירקטיבה האירופית העדכנית נעשתה בעיקרה בשלב השני של החקיקה. בשים ,לב למכלול השיקולים המתוארים לעיל, הוחלט, בין השאר כי המגזר הפיננסי לא ייכלל בחוק המוצע, שכן במגזר זה קיימת תשתית נורמטיבית מבוססת ומתקדמת המעניקה מענה להיבטי הגנת הסייבר, ניהול סיכונים ורציפות ,תפקודית, וכמו כן יש לו מאפיינים תפעוליים ייחודיים שבשלהם, יחד עם התשתית הנזכרת לעיל, ניתן לומר שלעת הזו, המענה הרגולטורי הקיים מספק. לחוק המוצע, מוצע לקבוע את התנאים8 בסעיף להגדרת ארגון כארגון חיוני לעניין החוק המוצע, בחלוקה למגזרים השונים. לצד זאת, מוצע לקבוע מנגנון המאפשר שינויים והתאמות למצבים חריגים, שבהם אף על פי שמתקיימים התנאים להגדרת הארגון כארגון חיוני, יהיה ,ניתן להחליט כי הוא לא ייחשב לכזה לעניין החוק המוצע או לחלופין, למצבים שבהם אף על פי שלא מתקיימים התנאים האמורים, יהיה ניתן להגדיר את הארגון כארגון חיוני לעניין החוק המוצע, הכול כמפורט להלן. )לסעיפים קטנים (א) ו–(ו ) לסעיף המוצע, כל גוף1()על פי המוצע בסעיף קטן (א ממשלתי, לרבות יחידות הסמך שלו ובסייגים המפורטים לחוק המוצע, קרי, שהוא1 בהגדרה "גוף ממשלתי" בסעיף אינו גוף מונחה ואינו נמנה עם הגופים המיוחדים כהגדרתם המוצעת, וכן בסייגים המנויים בטור א' לתוספת השנייה הוא ארגון חיוני. להשלמת התמונה יצוין כי אף על פי- שמשרד ראש הממשלה ומשרד החוץ נחשבים לארגון חיוני ,לפי החוק המוצע, כמו שאר משרדי הממשלה, הרי כאמור לגבי משרדים אלה, למעט יחידות הסמך שלהם, מוצע שהגורם המוסמך יהיה שירות הביטחון הכללי (וראו לעניין ,זה גם את דברי ההסבר לסימן ה' בפרק ה'). באופן דומה מוצע שבתי חולים ממשלתיים ייחשבו לארגון חיוני לפי החוק לפי המגזר שעליו הם נמנים, ולא כגוף ממשלתי. ,"באשר לארגונים שאינם מוגדרים כ"גוף ממשלתי ), שארגון שמתקיימים לגביו2()מוצע לקבוע, בסעיף קטן (א התנאים המפורטים בתוספת השלישית כנוסחה המוצע תנאים- לעניין המגזר או תת־המגזר שבו הוא פועל (להלן ,מגזריים), ייחשב לארגון חיוני לצורך ההסדר המוצע בחוק זאת אלא אם כן הוא גוף מונחה או שהגורם המאסדר ,) המוצע2()במגזר שבו הוא פועל קבע, לפי סעיף קטן (ב שלא יראו אותו כארגון חיוני לעניין החוק המוצע. לצד ) המוצע, לאפשר לגורם מאסדר2()זאת מוצע, בסעיף קטן (ב ד ב ר י ה ס ב ר 1345הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו בסוג הארגון, במאפייני פעילותו ובהשלכות האפשריות של תקיפת (א) ,סייבר נגדו, ובכלל זה פגיעה בביטחון המדינה, בביטחון הציבור, בחיי אדם ;בכלכלת המדינה או ברציפות אספקתם של שירותים חיוניים לציבור ,בשירות שמספק הארגון, ובכלל זה בהתחשב בחשיבות זמינות השירות (ב) בחלופות לשירות, במספר המשתמשים הנזקקים לו, בנתח השוק של הארגון באספקת השירות, בפריסה הגאוגרפית של השירות או בתלות של ארגונים אחרים בשירות. גורם מאסדר רשאי, בהחלטה מנומקת בכתב ולאחר שנתן לארגון הזדמנות )2( להשמיע את טענותיו, לקבוע כי ארגון הנמנה עם מגזר או עם תת־מגזר המנוי בטור א' או ב' לתוספת השלישית שהגורם המאסדר אמון על האסדרה של תחום הגנת הסייבר בו, לא יראו אותו לעניין חוק זה כארגון חיוני אף אם מתקיימים לגביו התנאים המפורטים בטור ג' לצידו, אם מצא כי מתקיימות נסיבות חריגות )(א) או (ב).1( המצדיקות קביעה כאמור, כאמור בפסקה ) לאחר שקיבל את עמדת2( ) או1( גורם מאסדר יקבע כאמור בפסקאות )3( ); פנה גורם מאסדר לוועדה המייעצת4( הוועדה המייעצת שהוקמה לפי פסקה ימים מיום הפנייה.30 לקבלת עמדה כאמור, תעביר אליו הוועדה את עמדתה בתוך )4( )1( תוקם ועדה מייעצת לעניין קביעת גורם מאסדר לפי פסקאות (א) :), שאלה חבריה2( או עובד בכיר ברשות המוסמכת, שיסמיך הגורם המאסדר, והוא יהיה )1( ;היושב ראש ;נציג מערך הסייבר הלאומי שיקבע ראש מערך הסייבר הלאומי )2( ;נציג משרד האוצר שיקבע שר האוצר )3( לקבוע שארגון שלא מתקיימים לגביו התנאים הנזכרים ,לעיל, ייחשב לארגון חיוני לעניין החוק המוצע, ובהתאם ארגון שנקבע לגביו כאמור, ייחשב גם הוא לארגון חיוני )).3()(סעיף קטן (א בהתאם לכלל המוצע לעניין ההגדרה של ארגון חיוני, שלפיו מדובר בהגדרה תלוית מגזר, מוצע לקבוע בתוספת האמורה, לעניין כל מגזר מהמגזרים הנזכרים לעיל, תנאים ייעודיים ודיפרנציאליים לארגון חיוני באותו מגזר. גישה זו נבחרה מתוך רצון להבטיח ניהול סיכונים מדויק ככל האפשר ורמה גבוהה של ישימות, כמו גם לנוכח הצורך בהסתגלות הדרגתית ובהתמקדות בגופים בעלי השפעה מערכתית. לעניין התנאים המגזריים, יצוין כי מחילה את הוראותיה על ארגוניםNIS2 ככלל, דירקטיבת )Medium-sized enterprises( במגזר המסווגים כבינוניים ומעלה, בהתאם להגדרות האיחוד האירופי. תנאים אלה מהווים אמת מידה מרכזית לתחולת החובות הרגולטוריות ,באירופה, לצד שיקולים נוספים הנוגעים לאופי הפעילות לרמת הסיכון ולמידת ההשפעה המערכתית של הארגון. בחוק המוצע, מוצע לקבוע בשלב זה תנאים מצומצמים בשים לב לשיקולים המתוארים לעיל. כך לדוגמה, מוצע לקבוע כי במגזר התקשורת, ארגון חיוני יהיה ספק מורשה כהגדרתו בחוק התקשורת (בזק מנויים200,000 , ובלבד שיש לו1982-ושידורים), התשמ"ב לפחות; במגזר האנרגיה, מוצע לקבוע כי ארגון חיוני בתחום החשמל יהיה, בין השאר, ארגון שבבעלותו או בשליטתו הישירה או העקיפה מיתקנים המשמשים לייצור חשמל מגה־ואט; ובמגזר המים100 בהספק מצטבר העולה על והביוב מוצע לקבוע כי ארגון יהיה ארגון חיוני אם הוא (בין ,השאר) תאגיד מים כמשמעותו בחוק תאגידי מים וביוב 5 צרכנים.00,000–, שלו יותר מ2001-התשס"א בחלק מהמקרים מוצע לקבוע כמה תנאים חלופיים לקביעת החיוניות של הארגון באותו מגזר, כדי לתת מענה למגוון סוגי הפעילות בתוך המגזר, כמו גם לתלות האפשרית בשיקולים שונים המעידים על חשיבות הארגון לרציפות התפקודית. שיקולים שונים כאלה עשויים לכלול את היקף המשתמשים בשירותי הארגון, או החזקה של הארגון ברישיונות ספציפיים המעידים על חשיבותו ומרכזיותו בפעילות המגזר. במקביל, וכמפורט לעיל, מוצע לקבוע בחוק המוצע מנגנון סדור שיאפשר בחינה פרטנית של קביעת ארגון כארגון חיוני גם במקרים שבהם לא מתקיימים התנאים האמורים, כדי לאפשר את המענה הלאומי הנדרש. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1346 ;נציג משרד הביטחון שיקבע שר הביטחון )4( ;נציג שירות הביטחון הכללי שיקבע ראש שירות הביטחון הכללי 5) ( נציג היועץ המשפטי לממשלה. )6( המניין החוקי בישיבות הוועדה המייעצת הוא רוב חבריה, ובהם יושב (ב) ראש הוועדה ונציג המערך. ;החלטות הוועדה יתקבלו ברוב דעות החברים המשתתפים בישיבה (ג) היו הדעות שקולות, תכריע דעתו של יושב ראש הוועדה. קבע גורם מאסדר כאמור בסעיף קטן (ב), ימסור הודעה על כך לארגון ולמערך (ג) ימים מיום הקביעה, בצירוף נימוקי ההחלטה; קביעת הגורם המאסדר תיכנס14 בתוך לתוקף במועד מסירת ההודעה כאמור לארגון. ,על אף הוראות סעיף קטן (ג), ארגון שנקבע שיראו אותו לעניין חוק זה כארגון חיוני (ד) 12 9(ב) עד (ה) החל מתום ), יחולו לגביו ההוראות לפי סעיף1()לפי הוראות סעיף קטן (ב חודשים ממועד מסירת ההודעה על הקביעה לארגון. נוסף על כך, כדי לשמר את הגמישות הנדרשת ,שתאפשר לעדכן את רשימת המגזרים בתוספת השלישית כמו גם את התנאים המגזריים, ולהתאימם לשינויי הזמן ,והצרכים, מוצע לקבוע בסעיף קטן (ו) לסעיף המוצע שהגורם המאסדר, בהתייעצות עם ראש מערך הסייבר הלאומי ועם שר האוצר, ובאישור ועדת החוץ והביטחון של הכנסת, יהיה רשאי, בצו, לשנות את התוספת השלישית. שינוי התוספת ייעשה, על פי המוצע, על בסיס כללים ואמות מידה מקצועיים המיושמים במדינות מפותחות בעלות שווקים משמעותיים, אלא אם כן מתקיימות נסיבות המצדיקות אחרת. )לסעיף קטן (ב מוצע לקבוע מנגנון המאפשר שינויים והתאמה למצבים חריגים. ,), גורם מאסדר יוכל לקבוע1( על פי המוצע בפסקה ,ביחס לארגון הפועל במגזר שהוא אמון על אסדרתו בהחלטה מנומקת בכתב ולאחר שנתן לארגון הזדמנות להשמיע את טענותיו, כי הארגון הוא ארגון חיוני גם אם לא מתקיימים לגביו התנאים המגזריים, ובתנאי שאינו גוף מונחה או ארגון חיוני במגזר אחר. כל זאת אם מצא ,כי מתקיימות נסיבות חריגות המצדיקות קביעה כאמור בהתחשב במאפיינים המנויים בפסקאות משנה (א) ו–(ב). ), שגורם מאסדר יהיה2( עוד מוצע לקבוע, בפסקה רשאי לקבוע ביחס לארגון הפועל במגזר שהוא אמון על אסדרתו, בהחלטה מנומקת בכתב ולאחר שנתן לארגון הזדמנות להשמיע את טענותיו, כי אף על פי שמתקיימים לגבי הארגון התנאים המגזריים, הארגון לא ייחשב לארגון חיוני לעניין ההסדר המוצע, וזאת אם מצא כי מתקיימות נסיבות חריגות המצדיקות קביעה כאמור בהתחשב באותם היבטים המנויים בפסקאות משנה (א) ו–(ב) הנזכרות לעיל. קביעה זו יכולה להתבצע גם על פי פנייה של הארגון החיוני לגורם המאסדר בבקשה להחריגו. ), גורם מאסדר יידרש, טרם3( על פי המוצע בפסקה קבלת החלטה בנושא, לשמוע את עמדתה של ועדה הוועדה המייעצת).- מייעצת שתוקם לצורך כך (להלן בראש הוועדה המייעצת יעמוד עובד בכיר ברשות המוסמכת שהסמיך הגורם המאסדר, ויהיו חברים בה נציג מערך הסייבר הלאומי, נציג משרד האוצר, נציג משרד הביטחון, נציג שירות הביטחון הכללי ונציג היועצת המשפטית לממשלה. חברי הוועדה יוכלו לבחון את הנושא מנקודת מבטם וגם בראיית רוחב. הוועדה המייעצת תעביר ימים. עוד30 את עמדתה לגורם מאסדר שפנה אליה בתוך מוצע לקבוע כי המניין החוקי בישיבות הוועדה המייעצת הוא רוב חבריה, ובהם יושב ראש הוועדה ונציג המערך, וכי החלטות הוועדה יתקבלו ברוב דעות החברים המשתתפים בישיבה, אך אם היו הדעות שקולות, תכריע דעתו של יושב ראש הוועדה. )לסעיף קטן (ג מוצע לקבוע כי אם גורם מאסדר קבע, לפי הוראות סעיף קטן (ב) המוצע, שארגון ייחשב לארגון חיוני או שארגון חיוני לא ייחשב לכזה, באופן המפורט לעיל, הוא יידרש להודיע על כך לארגון וכן ליידע את מערך הסייבר ימים מיום שקבע כאמור, ויצרף להודעתו14 הלאומי בתוך את נימוקי ההחלטה. על פי המוצע, קביעת הגורם המאסדר תיכנס לתוקף במועד מסירת ההודעה לארגון. )לסעיף קטן (ד מוצע לקבוע שאם נקבע ארגון כארגון חיוני בהתאם לסעיף (ב) המוצע, בקביעה פרטנית, תינתן לו שהות לנקוט את הצעדים הנדרשים כדי לעמוד במלוא הדרישות לעניין רמת הגנת סייבר לפי החוק המוצע, כך שהחובה לעמוד 9(ב) עד (ה) לחוק ברמת ההגנה הבסיסית בהתאם לסעיף חודשים מהמועד שבו12 המוצע, תחול לגביו רק בחלוף נכנסה לתוקף קביעתו כארגון חיוני. זאת, מתוך הבנה כי נדרש פרק זמן להיערכות כדי לעמוד ברמת ההגנה הנדרשת כאמור. ד ב ר י ה ס ב ר 1347 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ) שמתקיימים לגביו התנאים האמורים באותו2()ארגון חיוני כאמור בסעיף קטן (א (ה) סעיף קטן לעניין יותר ממגזר אחד כאמור בו, רשאי לפנות לגורמים המאסדרים, האמונים על האסדרה של תחום הגנת הסייבר באותם מגזרים, בבקשה שיקבעו את המגזר האחד שלגביו ייחשב הארגון לארגון חיוני לעניין חוק זה; פנה כאמור, יקבעו הגורמים ,המאסדרים האמורים, יחד, לאחר התייעצות עם המערך, את המגזר האמור; קבעו כאמור ייחשב הארגון לארגון חיוני לעניין המגזר שנקבע, בלבד, החל ממועד מסירת ההודעה על הקביעה לארגון. גורם מאסדר, בהתייעצות עם ראש מערך הסייבר הלאומי ועם שר האוצר, ובאישור (ו) ועדת החוץ והביטחון של הכנסת, רשאי, בצו, לתקן את התוספת השלישית, ובכלל זה לשנות את התנאים המנויים בטור ג' לאותה תוספת, לעניין המגזר או תת־מגזר שבו הוא אמון על האסדרה של תחום הגנת הסייבר, ובלבד ששינוי התנאים כאמור ייעשה על בסיס כללים ואמות מידה מקצועיים המיושמים במדינות מפותחות עם שווקים משמעותיים, אלא אם כן מתקיימות נסיבות המצדיקות אחרת. סימן ב': רמת הגנת סייבר, מניעת סיכון סייבר משמעותי בארגון חיוני וחובת דיווח על תקיפת סייבר משמעותית נגד ארגון חיוני רמת הגנת סייבר 9. )(א ארגון ינקוט אמצעים סבירים להגנת סייבר בפעילותו, באופן התואם את אופי )1( פעילותו ואת רמת הסיכון הנובעת ממנה. - ), יובאו בחשבון, בין השאר1( לעניין פסקה )2( סוג השימוש במחשב או סוג חומר המחשב השמור בו והיקף השימוש (א) ;בהם )לסעיף קטן (ה מוצע לקבוע כי ארגון שמתקיימים לגביו התנאים ,) המוצע2()המגזריים, קרי התנאים האמורים בסעיף קטן (א ביותר ממגזר אחד, רשאי לפנות לגורמים המאסדרים של אותם מגזרים, כדי שהם יקבעו, בהתייעצות עם מערך הסייבר הלאומי, את המגזר האחד שבו יוגדר הארגון כארגון חיוני לעניין החוק המוצע, זאת כדי לייצר ודאות בעבור ארגונים במשק באשר לזהות המאסדר שסמכויותיו חלות ,ביחס אליהם. על פי המוצע, אם התקבלה החלטה כאמור ,ייחשב הארגון לארגון חיוני לעניין המגזר שנקבע בלבד החל ממועד מסירת ההודעה על הקביעה לארגון. סימן ב': רמת הגנת סייבר, מניעת סיכון סייבר משמעותי בארגון חיוני וחובת דיווח על תקיפת סייבר משמעותית נגד ארגון חיוני )ותוספת רביעית לסעיף קטן (א 9 סעיף מאחר שמרחב הסייבר מאופיין בקישוריות ,גבוהה ולנוכח הסיכונים לתקיפות סייבר, מוצע להבהיר למען הסר ספק, את המצב המשפטי הקיים, שבו כל ארגון ,נדרש לנקוט אמצעים סבירים להגנת סייבר בפעילותו באופן התואם את אופי פעילותו ואת רמת הסיכון הנובעת ממנה. זאת על אף שהחוק המוצע אינו קובע כלי אכיפה או סנקציה ייעודית בהקשר זה. מאחר שהחוק המוצע מתייחס כאמור לנקיטת אמצעים סבירים באופן התואם את אופי פעילות הארגון ורמת הסיכון הנובעת ממנה, ולא קובע חובות מפורטות החלות על כלל ) שורה2( הארגונים, מוצע, לשם הבהירות, לפרט בפסקה של שיקולים או היבטים שיובאו בחשבון על ידי הארגון בקיום החובה האמורה. בין השאר, יובאו בחשבון סוג השימוש במחשב או סוג חומר המחשב השמור בו והיקף השימוש בהם. נוסף על כך, יובאו בחשבון סיכוני הסייבר ,והנזק שעלול להיגרם לארגון, לציבור או לצדדים שלישיים ובכלל זה לקוחות, במקרה של תקיפת סייבר נגד הארגון או באמצעותו (למשל כשתקיפה נגד הארגון משמשת גם לתקיפה נגד ארגון אחר), ככל שביכולתו של הארגון לצפות אותם. יתר על כן, תובא בחשבון העלות הכלכלית המוערכת ,)1( של נקיטת האמצעים הסבירים להגנת הסייבר לפי פסקה ,ביחס למשאבים ולמאפייני הפעילות של הארגון. כך למשל במקרה שבו קיים אמצעי שעשוי, אומנם, לשפר במידת מה את רמת הגנת הסייבר של הארגון, אך נקיטתו תהיה כרוכה בעלות בלתי סבירה ביחס למשאבים של הארגון וביחס לסיכון הנשקף למאפייני הפעילות של הארגון, יובא הדבר ,בחשבון בין מכלול השיקולים הנוגעים לעניין. נוסף על כך יובאו בחשבון אמצעי הגנת הסייבר המקובלים בארגונים ,דומים והידע המקצועי הנגיש לארגונים כאמור. כמו כן יובאו בחשבון גודלו של הארגון, אופיו והיקף פעילותו, ואף יינתן משקל מיוחד להיותו של הארגון "עסק זעיר", כהגדרתו ,בסעיף מוצע זה. זאת, בשים לב לכך שבמכלול השיקולים בנסיבות מסוימות, עסק זעיר לא יידרש לנקוט אמצעים מסוימים שארגון גדול יותר יידרש לנקוט, בשל משאביו המוגבלים. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1348 סיכוני הסייבר והנזק שעלול להיגרם לארגון, לציבור, או לצדדים (ב) שלישיים, ובכלל זה לקוחות, במקרה של תקיפת סייבר נגד הארגון או ;באמצעותו, ככל שביכולתו של הארגון לצפות אותם ,)1( העלות הכלכלית המוערכת של נקיטת אמצעים כאמור בפסקה (ג) ביחס למשאבים ולמאפייני הפעילות של הארגון. אמצעי הגנת הסייבר המקובלים בארגונים דומים והידע המקצועי (ד) ;הנגיש לארגונים כאמור גודל הארגון, אופיו והיקף פעילותו; לעניין זה, יינתן משקל מיוחד (ה) ארגון שמחזור- "להיותו של הארגון עסק זעיר; לעניין זה, "עסק זעיר מיליון שקלים חדשים.2 העסקאות שלו בשנה אינו עולה על )(ב בלי לגרוע מהוראות סעיף קטן (א), ארגון חיוני ידאג לקיים רמת הגנת סייבר )1( בסיסית על ידי קיום הדרישות המפורטות בחלק א' לתוספת הרביעית, באמצעות יישום ההוראות הנוגעות לאותן דרישות בתקן אחד שיבחר מתוך התקנים המנויים בחלק ב' לתוספת האמורה, בהתאמות המתחייבות. מערך הסייבר הלאומי יפרסם באתר האינטרנט שלו הודעה על כל שינוי )2( ).1( בהוראת תקן מהתקנים האמורים, הנוגעת לדרישות האמורות בפסקה ,ראש הממשלה, לאחר שהובאה לפניו המלצת ראש מערך הסייבר הלאומי )3( ובאישור ועדת החוץ והביטחון של הכנסת, רשאי, בצו, לשנות את התוספת הרביעית; המלצת ראש מערך הסייבר הלאומי לעניין פסקה זו תגובש בהתייעצות עם ראש הרשות להגנת הפרטיות; לא מסר ראש הרשות להגנת הפרטיות את ימים מיום שפנה אליו ראש מערך הסייבר הלאומי בעניין, יראו45 עמדתו בתוך בתום אותה תקופה כאילו קוימה חובת ההתייעצות לפי פסקה זו. )לסעיף קטן (ב לאור חשיבותם של ארגונים חיוניים להמשך שמירה על הרציפות התפקודית, לצד החובה הכללית החלה על ,ארגונים להבטיח רמת הגנת סייבר ראויה בפעילותם ובלי לגרוע ממנה, מוצע לעגן, בחלק א' לתוספת הרביעית תוספת רביעית), חובות פרטניות- כנוסחה המוצע (להלן לעניין רמת הגנת סייבר בסיסית שארגונים חיוניים נדרשים לעמוד בהן. על פי המוצע, על ארגון חיוני לעמוד בדרישות אלה, באמצעות יישום ההוראות הנוגעות לאותן דרישות בתקן אחד שייבחר מתוך התקנים המנויים בחלק ב' לאותה תוספת, בהתאמות המתחייבות ותוך הבטחת הלימה לדרישות המפורטות בחלק א' לתוספת האמורה. יישום הדרישות האמורות בהתאם להוראות התקנים המקצועיים המקובלים, המנויים בחלק ב' לאותה תוספת, בהתאמות כאמור, נועד להקל על הארגונים החיוניים ליישם את אותן דרישות באמצעות מתן הכוונה לעניין אופן יישומן. יובהר כי לא מוצע לקבוע חובה לעמידה מלאה בכל הוראות התקן שנבחר על ידי הארגון החיוני, אם הוראות התקן מתייחסות לדרישות רחבות יותר מדרישות המנויות בחלק א' לתוספת הרביעית. במקרה כזה, יידרש הארגון החיוני לעמוד רק בהוראות הרלוונטיות לאותן דרישות. יצוין כי התקנים המנויים בחלק ב' לתוספת הרביעית הם תקנים הזמינים לעיון הציבור במרשתת. כדי להנגיש לארגונים החיוניים שינויים בהוראות 'התקינה שלפיהן עליהם ליישם את הדרישות שבחלק א לתוספת הרביעית, מוצע לקבוע כי המערך יפרסם באתר האינטרנט שלו כל שינוי בהוראת תקן מהתקנים המנויים בחלק ב' לתוספת האמורה, הנוגעת לדרישות האמורות. נוסף על כך, כדי לסייע לארגונים החיוניים, בכוונת המערך לערוך ולפרסם באתר האינטרנט של המערך טבלה אשר תפנה לסעיפי הבקרות בכל תקן המנוי בחלק ב' לתוספת הרביעית, ביחס לדרישות המפורטות בחלק א' לאותה תוספת, לרבות בעת עדכון התקן כאמור לעיל. ההוראות המנויות בתוספת הרביעית נועדו להבטיח רמת הגנה בסיסית לארגון חיוני באמצעות יישום דרישות שעניינן, בין השאר, מדיניות לניתוח סיכונים והגנה על נכסי Cyber( סייבר; דרישות שעניינן היערכות לאירועי סייבר ), ובכלל זה תקיפות סייבר והתמודדות עימן; רציפותEvents תפקודית והמשכיות השירות; הגנת סייבר בשרשרת האספקה; פיתוח מאובטח, תחזוקה של מערכות וטיפול ;)Vulnerabilities( ) ובפגיעויותExposure( בחשיפות מדיניות ונהלים להערכת התועלת של הפעילות הארגונית להגנת סייבר; היגיינת מחשב בסיסית והדרכות; הצפנה והסתרה של נכסי סייבר; בקרת גישה, ניהול נכסי סייבר והתייחסות לגורם האנושי. ד ב ר י ה ס ב ר 1349הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ") להגדרה "מגזר1( גורם מאסדר של תחום הגנת הסייבר במגזר כאמור בפסקה (ג) , רשאי, לאחר התייעצות עם ראש מערך הסייבר הלאומי, לקבוע בתקנות1 שבסעיף דרישות בעניין רמת הגנת הסייבר שיחולו על ארגונים חיוניים באותו מגזר, נוסף על ,הדרישות המנויות בחלק א' לתוספת הרביעית, וכן רשאי הוא, לאחר התייעצות כאמור לקבוע דרישות נוספות כאמור בהוראות שהוא מוסמך לתת לפי דין אחר. ,1 ) להגדרה "רשות מוסמכת" שבסעיף2( ראש הרשות המוסמכת כאמור בפסקה (ד) ,רשאי, לאחר התייעצות עם ראש מערך הסייבר הלאומי, לתת, בהנחיות או בנהלים הוראות לעניין רמת הגנת הסייבר של גופים ממשלתיים, נוסף על הדרישות המנויות בחלק א' לתוספת הרביעית. ארגון חיוני ישמור מידע ומסמכים המעידים על עמידתו בדרישות לפי סעיפים (ה) קטנים (ב) עד (ד). תקנות, הוראות, הנחיות ונהלים לפי סעיפים קטנים (ב) עד (ד) ייקבעו על בסיס (ו) ,כללים ואמות מידה מקצועיים, המיושמים במדינות מפותחות עם שווקים משמעותיים אלא אם כן מתקיימות נסיבות המצדיקות אחרת, בין השאר בשל תנאי שוק ייחודיים לרבות מגבלות על מתן השירות בידי ארגונים במגזר, מיעוט חלופות למתן השירות במגזר, צרכים תפעוליים ייחודיים של ארגונים במגזר והערכת איומים וסיכונים בתחום הסייבר במגזר. יתרה מכך, כדי לאפשר עדכון של ההוראות המנויות בתוספת הרביעית המוצעת מזמן לזמן ולהמשיך להבטיח ,הגנת סייבר בסיסית, מוצע להסמיך את ראש הממשלה לאחר שהובאה לפניו המלצת ראש מערך הסייבר הלאומי שגובשה בהתייעצות עם ראש הרשות להגנת הפרטיות ) המוצעת, ובאישור ועדת החוץ3( כמפורט בפסקה והביטחון של הכנסת, לשנות בצו את התוספת הרביעית. )לסעיף קטן (ג כדי להשלים ולשפר את רמת הגנת הסייבר של ארגונים חיוניים ולאפשר התאמה מרבית של הסטנדרט ,המקצועי הנדרש למאפיינים הייחודיים של כל מגזר, מוצע ,נוסף על הדרישות המנויות בחלק א' לתוספת הרביעית להסמיך גורמים מאסדרים, לאחר התייעצות עם ראש מערך הסייבר הלאומי, כגורם המקצועי הלאומי המתכלל את תחום הגנת הסייבר, לקבוע בתקנות, או לתת בהוראות שהם מוסמכים לתת לפי דין (מכוח חקיקה אחרת), דרישות נוספות בעניין רמת הגנת הסייבר שיחולו על ארגונים חיוניים במגזר שהם הגורם המאסדר שלו. יובהר כי הסעיף המוצע אינו מקנה סמכות לגורם מאסדר לקבוע דרישות כאמור בהוראות שאינן תקנות, כגון הוראות מינהל, אלא מבהיר שגורם מאסדר שמוסמך לתת הוראות כאמור, מכוח דין אחר, רשאי לקבוע במסגרתן דרישות כאמור, אך זאת בהתייעצות עם ראש מערך הסייבר. )לסעיף קטן (ד באופן דומה לאמור בסעיף קטן (ג) המוצע, מוצע )2( להסמיך את ראש הרשות המוסמכת כאמור בפסקה להגדרה "רשות מוסמכת" המוצעת, כלומר, ראש מערך הדיגיטל, לקבוע, לאחר התייעצות עם ראש מערך הסייבר הלאומי, כגורם המקצועי הלאומי המתכלל את תחום הגנת הסייבר, הוראות נוספות על הדרישות שבחלק א' לתוספת הרביעית, שיחולו לעניין רמת הגנת הסייבר של גופים ממשלתיים. הוראות כאמור ייקבעו בהנחיות או בנהלים. )לסעיף קטן (ה כדי לאפשר בקרה על עמידתם של ארגונים חיוניים בדרישות רמת הגנת סייבר כמוצע בסעיף זה, מוצע לחייב ארגון חיוני לשמור מידע ומסמכים המעידים על ,עמידתו בדרישות לפי סעיפים קטנים (ב) עד (ד) המוצעים כלומר ברמת ההגנה התואמת את הדרישות לפי התוספת הרביעית, ואם נקבעו תקנות, הוראות, הנחיות או נהלים לפי אותן הוראות.- )לפי סעיפים קטנים (ג) או (ד )לסעיף קטן (ו מוצע להתוות את שיקול הדעת של הגורמים ,המוסמכים לקבוע תקנות, ובכלל זה צווים וכן הוראות הנחיות ונהלים, לפי סעיפים קטנים (ב) עד (ד) המוצעים כאמור, כך שאלה ייקבעו בהתאם לעקרונות האסדרה ,הנהוגים ועל בסיס כללים ואמות מידה מקצועיים ,המיושמים במדינות מפותחות בעלות שווקים משמעותיים אלא אם כן מתקיימות נסיבות המצדיקות אחרת, בין השאר בשל תנאי שוק ייחודיים לרבות מגבלות על מתן השירות ,בידי ארגונים במגזר, מיעוט חלופות למתן השירות במגזר צרכים תפעוליים ייחודיים של ארגונים במגזר והערכת איומים וסיכונים בתחום הסייבר במגזר. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1350 חוות דעת מקדמית .10 רשות מוסמכת תיתן, לבקשת ארגון חיוני, חוות דעת מקדמית בעניין אופן קיום (א) דרישה המנויה בחלק א' לתוספת הרביעית באמצעות יישום הוראות תקן כמפורט בחלק ), בידי הארגון (בסעיף1()9(ב ב' לאותה תוספת, בהתאמות המתחייבות כאמור בסעיף חוות דעת מקדמית).- זה בקשת ארגון חיוני לקבלת חוות דעת מקדמית תכלול את מטרת הבקשה ואת כל (ב) העובדות הנדרשות למתן חוות הדעת, בצירוף המסמכים הנוגעים בדבר; רשות מוסמכת רשאית לדרוש ידיעות ומסמכים נוספים הדרושים לה לצורך מתן חוות הדעת המקדמית. ימים ממועד קבלת בקשת הארגון החיוני, ואם60 חוות דעת מקדמית תינתן בתוך (ג) , ממועד המצאתם- )דרשה הרשות המוסמכת ידיעות ומסמכים נוספים לפי סעיף קטן (ב לפי המאוחר; מנהל בכיר ברשות מוסמכת רשאי להאריך את התקופה האמורה, אם מצא כי מתקיימות נסיבות מיוחדות המצדיקות זאת. ,הרשות המוסמכת תעביר את חוות הדעת המקדמית למערך הסייבר הלאומי (ד) ורשאית היא, בהסכמת הארגון, לפרסם חוות דעת מקדמית הכוללת פרטים שיש בהם לפרסם את- כדי לזהות את הארגון החיוני, ואם לא ניתנה לכך הסכמת הארגון החיוני חוות הדעת המקדמית בלא פרטים שיש בהם כדי לזהות את הארגון החיוני. הוראות דחופות למניעת סיכון סייבר משמעותי בארגון חיוני .11 מצא ראש מערך הסייבר הלאומי כי מתקיים סיכון סייבר שיש בו כדי לאפשר (א) ,, נגד ארגונים חיוניים שונים או באמצעותם13 תקיפת סייבר חמורה כהגדרתה בסעיף ,אם לא יינקטו בדחיפות אמצעים להתמודדות עימו, רשאי הוא, באישור ראש הממשלה להורות בכתב לארגון חיוני שביחס אליו עלול להתממש הסיכון, לנקוט אמצעים כאמור במועד שעליו יורה. במטרה לייצר ודאות בעבור הארגונים החיוניים10 סעיף באשר לעמידתם בדרישות הגנת הסייבר ,הבסיסיות המחייבות לפי חלק א' לתוספת הרביעית באמצעות יישום הוראות תקן כמפורט בחלק ב' לאותה תוספת בהתאמות המתחייבות, מוצע לקבוע הסדר שמאפשר לאותם ארגונים לבקש לקבל מהרשות המוסמכת הנוגעת לעניין, חוות דעת מקדמית לעניין זה. כדי לאפשר לרשות המוסמכת לגבש את חוות הדעת המקדמית על בסיס כלל המידע הנדרש לצורך כך, מוצע לקבוע כי בקשת ארגון חיוני לקבלת חוות דעת מקדמית תכלול את מטרת ,הבקשה ואת כל העובדות הנדרשות למתן חוות הדעת בצירוף המסמכים הנוגעים בדבר. נוסף על כך, מוצע לאפשר לרשות מוסמכת שקיבלה בקשה כאמור לדרוש ידיעות ומסמכים נוספים הדרושים לה לצורך מתן חוות הדעת המקדמית. עוד מוצע לקבוע שחוות הדעת המקדמית תינתן בתוך ימים ממועד קבלת בקשת הארגון החיוני, ואם דרשה60 הרשות המוסמכת ידיעות ומסמכים נוספים כאמור לפי ימים מהמועד שבו הומצאו60 בתוך- סעיף קטן (ב) המוצע לה, לפי המאוחר. כמו כן, מוצע להסמיך מנהל בכיר ברשות מוסמכת להאריך את התקופה למתן חוות דעת מקדמית, אם מצא כי ,מתקיימות נסיבות מיוחדות המצדיקות זאת. על פי המוצע הרשות המוסמכת תעביר את חוות הדעת המקדמית ,למערך הסייבר הלאומי, ורשאית היא, בהסכמת הארגון לפרסם חוות דעת מקדמית הכוללת פרטים שיש בהם כדי לזהות את הארגון החיוני. אם לא ניתנה לכך הסכמת הארגון החיוני, תוכל הרשות המוסמכת לפרסם את חוות ,הדעת המקדמית בלא פרטים שמאפשרים לזהותו. הכול כדי לסייע לארגונים חיוניים אחרים באותו מגזר לבחון את עמידתם בדרישות. )לסעיף קטן (א 11 סעיף מתוך הראייה הלאומית המתכללת של מערך הסייבר הלאומי בתחום הגנת הסייבר, לנוכח רמת האיומים הגבוהה במרחב הסייבר הישראלי, מוצע להקנות לראש מערך הסייבר הלאומי, באישור ראש הממשלה, סמכות להורות בכתב לארגון חיוני לנקוט אמצעים להתמודדות עם סיכון סייבר או למניעתו, ולקבוע מועד לנקיטתם. ראש המערך יוכל להפעיל סמכות זאת אם מצא כי מתקיים סיכון סייבר שיש בו כדי לאפשר תקיפת סייבר חמורה לחוק המוצע, נגד ארגונים חיוניים13 כהגדרתה בסעיף שונים או באמצעותם, אם לא יינקטו בדחיפות אמצעים להתמודדות עימו, היינו סיכון סייבר משמעותי. במסגרת הפעלת הסמכות, יהיה ראש מערך הסייבר הלאומי רשאי לתת הוראות כאמור לארגון חיוני שביחס אליו עלול להתממש הסיכון. סעיף זה נועד לאפשר לראש מערך הסייבר הלאומי, במקרים חריגים, לתת הוראות לארגונים חיוניים כדי שהם יתמודדו באופן דחוף עם סיכוני סייבר משמעותיים במסגרת פעילותם להגנת הסייבר בארגון, כגון הוראות לטיפול בפגיעויות חמורות העלולות לגרום לסיכון משמעותי במשק. ד ב ר י ה ס ב ר 1351 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ראש מערך הסייבר הלאומי ייתן הוראה כאמור בסעיף קטן (א), לאחר שקיים ככל (ב) האפשר בנסיבות העניין התייעצות עם הרשות המוסמכת הנוגעת לעניין, ולאחר ששקל את השפעתה האפשרית על פעילות הארגון החיוני ועל צד שלישי, ובכלל זה על הזכות לפרטיות, וכן את העלות הכלכלית המוערכת של יישום ההוראה והשפעתה האפשרית על הרציפות התפקודית של הארגון החיוני, למיטב ידיעתו, ואם הארגון החיוני מסר בהתחשב בהערכה שמסר, ומצא כי אין במתן ההוראה כדי לפגוע- הערכה לעניין זה במידה העולה על הנדרש בנסיבות העניין. ,הוראה כאמור בסעיף קטן (א) תועבר לארגון החיוני באמצעות היחידה המגזרית (ג) אלא אם כן התקיימו נסיבות מיוחדות המצדיקות אחרת. )(ד ארגון חיוני שקיבל הוראה לפי סעיף זה, רשאי, בהקדם האפשרי ולא יאוחר )1( שעות ממועד קבלת ההוראה, להשיג עליה לפני מנהל בכיר במערך, אם48 מתום :מתקיים אחד מאלה לטענת הארגון החיוני סיכון הסייבר שבעניינו ניתנה ההוראה אינו (א) קיים לגביו, או שקיים סיכון כאמור אך אין בו כדי לאפשר תקיפת סייבר ;חמורה נגד הארגון החיוני או באמצעותו הארגון החיוני פירט אמצעים חלופיים להתמודדות עם סיכון הסייבר (ב) שבעניינו ניתנה ההוראה. השגה) תוגש בכתב בפירוט כל הנתונים- ) (בסעיף זה1( השגה לפי פסקה )2( ובצירוף כל המסמכים הנדרשים להחלטה בה. )לסעיף קטן (ב כדי להבטיח שימוש מידתי ומאוזן בסמכות הקבועה בסעיף קטן (א) המוצע, מוצע לקבוע תנאים ברורים להפעלתה. כך, למשל, מוצע לקבוע כי החלטה על מתן הוראות דחופות למניעת סיכון כאמור דורשת את אישור ראש הממשלה. יתרה מכך, מוצע לקבוע כי ההוראות האמורות יינתנו רק לאחר שראש מערך הסייבר הלאומי קיים, ככל האפשר בנסיבות העניין, התייעצות עם הרשות המוסמכת הנוגעת לעניין. נוסף על כך, מוצע לקבוע כי ראש מערך הסייבר הלאומי ייתן הוראה כאמור רק לאחר שמצא כי אין בה כדי לפגוע במידה העולה על הנדרש בנסיבות העניין, וזאת לאחר ששקל את השפעתה האפשרית על פעילות הארגון החיוני ועל צד שלישי, לרבות הזכות לפרטיות, את העלות הכלכלית המוערכת של יישום ההוראה ואת השפעתה האפשרית על הרציפות התפקודית של הארגון החיוני, למיטב ידיעתו, ואם הארגון החיוני מסר - לראש מערך הסייבר הלאומי הערכה כלכלית לעניין זה בהתחשב בהערכה שמסר. )לסעיף קטן (ג מוצע לקבוע כי הוראה לנקוט אמצעים להתמודדות עם סיכון סייבר, כאמור לעיל, תועבר לארגון החיוני באמצעות היחידה המגזרית, אלא אם כן התקיימו נסיבות מיוחדות המצדיקות שהדבר ייעשה בדרך אחרת. )לסעיף קטן (ד מוצע לאפשר לארגון חיוני שקיבל הוראה לפי סעיף מוצע זה, להשיג עליה לפני מנהל בכיר במערך, בלוח זמנים ומטעמים כמפורט בסעיף קטן (ד) כנוסחו המוצע. הטעמים המוצעים נוגעים לעצם קיומו של הסיכון או לאופיו, או לקיומם של אמצעים חלופים להתמודדות עם הסיכון. על פי המוצע, ההשגה תוגש בכתב תוך פירוט כל ;הנתונים וצירוף כל המסמכים הנדרשים להחלטה בה 48–החלטה בהשגה תינתן בהקדם האפשרי ולא יאוחר מ שעות ממועד הגשתה, אך מוצע לאפשר למנהל בכיר ;במערך לדחות את המועד לנתינתה מטעמים מיוחדים ולבסוף, מוצע כי ההחלטה בהשגה תינתן לאחר התייעצות עם מנהל בכיר ברשות המוסמכת הנוגעת לעניין, ותימסר בכתב ובצירוף נימוקים, הן לארגון החיוני והן לרשות המוסמכת. עוד מוצע לקבוע כי אם החליט מנהל בכיר במערך לקבל את ההשגה מהטעם שקיימים אמצעים חלופיים להתמודדות עם הסיכון, שהארגון החיוני פירט בהשגה שהגיש, יראו כאילו ניתנה לארגון החיוני הוראה לנקוט את אותם אמצעים חלופיים. כמו כן, מוצע להבהיר כי עצם הגשת ההשגה אינו מעכב את ביצוע ההוראה שלגביה היא הוגשה, אלא אם כן החליט המנהל הבכיר במערך אחרת. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1352 שעות ממועד48החלטה בהשגה תינתן בהקדם האפשרי ולא יאוחר מ־ )3( הגשתה, אלא אם כן דחה מנהל בכיר במערך את המועד לנתינתה, מטעמים מיוחדים; ההחלטה בהשגה תינתן לאחר התייעצות עם מנהל בכיר ברשות ;המוסמכת, תהיה מנומקת ותימסר בכתב לארגון החיוני ולרשות המוסמכת )(ב), כולה או חלקה, יראו כאילו ניתנה לארגון החיוני1( התקבלה השגה לפי פסקה הוראה לפי סעיף קטן (א) לנקוט את האמצעים החלופיים שפירט כאמור באותה פסקה, בהתאם להחלטה בהשגה. אין בהגשת השגה כדי לעכב את ביצוע ההוראה שלגביה הוגשה, אלא אם )4( כן החליט המנהל הבכיר במערך אחרת. ארגון חיוני ישמור מידע ומסמכים המעידים על עמידתו בהוראות לפי סעיף זה. (ה) חובת דיווח על תקיפת סייבר משמעותית נגד ארגון חיוני .12 נודע לארגון חיוני שמתרחשת, בפועל, תקיפת סייבר נגדו שמתקיים לגביה אחד (א) תקיפת סייבר משמעותית), ידווח על כך למנהל בכיר במערך ולמנהל- מאלה (בסעיף זה :)בכיר ברשות המוסמכת, בהתאם להוראות סעיפים קטנים (ב) ו–(ג היא פוגעת או שיש חשש ממשי שתפגע באופן משמעותי בזמינות, ברציפות )1( :או במהימנות השירות של הארגון החיוני, בהתחשב בין השאר באלה מספר או סוג המשתמשים בשירות שעלולים להיות מושפעים (א) ;מהתקיפה ;סוג הפגיעה והיקפה (ב) ;משך הפגיעה (ג) התקיפה עלולה להביא לפגיעה בנכס מידע משמעותי או לגישה של גורם )2( ,שאינו מורשה לנכס כאמור, ובכלל זה בדרך של פגיעה בתהליך הזדהות או שינויו ;או הוצאתו שלא כדין של מידע לרבות בדרך של העתקתו על ידי גורם כאמור , לחוק המוצע21 להשלמת הדברים, יצוין כי בסעיף מוצע להחיל את ההסדר המעוגן בסעיף זה גם ביחס לארגון חיוני למערכת הביטחון כהגדרתו המוצעת, ובכלל זה להקנות את הסמכות הנתונה בו לראש המערך (והסמכות הנתונה למנהל בכיר במערך בכל הנוגע להשגה), גם לראש 21 מלמ"ב ולמנהל בכיר במלמ"ב, הכול כמפורט בסעיף לחוק המוצע. )לסעיף קטן (ה מוצע להטיל על ארגון חיוני חובה לשמור מידע ומסמכים המעידים על עמידתו בהוראות לפי סעיף מוצע זה. כל אדם, וכן כל ארגון, רשאי למסור הודעה12 סעיף למערך הסייבר הלאומי בעניין תקיפת סייבר. באשר לתקיפות כאמור נגד ארגונים חיוניים או באמצעותם, הרי קבלת דיווח על תקיפות כאמור שהן תקיפות משמעותיות היא חיונית במסגרת מאמצי ההגנה על המשק. )לסעיף קטן (א בשים לב לאמור לעיל, מוצע לקבוע שארגון חיוני יהיה חייב למסור דיווח על תקיפת סייבר משמעותית נגדו הידועה לו והמתרחשת בפועל. הדיווח יימסר למנהל בכיר במערך הסייבר הלאומי ולמנהל בכיר ברשות המוסמכת לעניין פעילות בתחום הגנת הסייבר במגזר שבו פועל הארגון. יובהר שבהתאם להסדר המוצע, הארגון החיוני יגיש דיווח אחד, שיוגש במקביל לרשות המוסמכת ולמערך הסייבר הלאומי. מוצע להגדיר "תקיפת סייבר משמעותית" שבשלה תקום חובת הדיווח לפי סעיף זה כתקיפה שמתקיים לגביה ) של3( ) עד1( אחד משלושה תנאים, המנויים בפסקאות סעיף קטן (א), שעניינם מהות וחומרת התקיפה. יובהר כי בעוד ההחלטה בשאלה אם תקיפה היא לחוק המוצע13 "תקיפת סייבר חמורה" כהגדרתה בסעיף כרוכה בבחינת שיקולים שאת חלקם לרשות מינהלית יש יכולת לשקול, הרי "תקיפת סייבר משמעותית" מוגדרת כך שארגון חיוני יכול להפעיל את שיקול דעתו ולבחון אם מדובר בתקיפה כאמור שחלה עליו חובה לדווח עליה בהתאם לסעיף מוצע זה. עוד יצוין כי בכוונת מערך הסייבר הלאומי לפרסם גילוי דעת בדבר דוגמאות לתקיפות ,סייבר משמעותיות שיש לדווח עליהן לפי סעיף מוצע זה ,ודוגמאות לעניינים שיש לכלול בדיווח לפי הסעיף האמור ושאם לא יפורטו, יהיה ניתן להטיל על הארגון החיוני עיצום בשל אי־מסירתם. ד ב ר י ה ס ב ר 1353 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו יש חשש ממשי שהיא אינה מוגבלת לארגון החיוני הנתקף. )3( לשם מילוי חובתו בהתאם לסעיף זה יפעל ארגון חיוני באחת הדרכים (ב) :) להלן, בציון הדרך שבה בחר לפעול2( ) או1( שבפסקאות :יגיש את הדיווחים בהתאם למפורט להלן )1( יגיש, באופן מיידי, דיווח הכולל את הפרטים שלהלן, אם הם ידועים (א) לו, וכל מידע אחר שיש בו כדי לסייע להערכת חומרתה של תקיפת הסייבר :והשלכותיה ;פרטי הארגון והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו )1( ;מועד תחילת תקיפת הסייבר ומועד גילויה )2( ;מידע לגבי מאפייני תקיפת הסייבר והשפעתה על הארגון )3( מידע הנוגע לאפשרות שתקיפת הסייבר תפגע ישירות ובאופן )4( ;ממשי בארגון אחר יגיש, בסמוך לאחר סיום הטיפול בתקיפת הסייבר, דיווח הכולל את (ב) :) דיווח מסכם- הפרטים שלהלן (להלן תיאור מפורט על אודות תקיפת הסייבר, לרבות חומרתה )1( ;והשלכותיה סוג תקיפת הסייבר והגורמים שהיוו מקור להתרחשותה, לפי מיטב )2( ;ידיעתו של הארגון )לסעיף קטן (ב מוצע לפרט את הדרכים שבהן ארגון חיוני יכול ,לקיים את חובת הדיווח לפי סעיף מוצע זה. על פי המוצע יידרש הארגון לפעול באחת מהדרכים שלהלן, בציון הדרך :שנבחרה .  בדרך הראשונה על הארגון להגיש, באופן מיידי, דיווח1 הכולל את הפרטים המוצעים בסעיף, אם הם ידועים לו וכל מידע אחר שיש בו כדי לסייע להערכת חומרתה של תקיפת הסייבר והשלכותיה, ובכלל האמור: פרטי הארגון והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו (כגון שם ,איש קשר בארגון, מספר טלפון, כתובת למשלוח הודעות כתובת דואר אלקטרוני ומספר ח"פ (אם קיים)); מועד תחילת תקיפת הסייבר ומועד גילויה; מידע לגבי מאפייני תקיפת הסייבר והשפעתה על הארגון; ומידע הנוגע לאפשרות שתקיפת הסייבר תפגע ישירות ובאופן ממשי בארגון אחר. ,נוסף על כך, במסגרת דיווח בדרך זו, על הארגון להגיש בסמוך לאחר סיום הטיפול בתקיפת הסייבר, דיווח מסכם שנועד, בין השאר, לאפשר למערך הסייבר הלאומי ולרשות המוסמכת, לוודא שהאינטרסים הציבוריים שעלולים להפגע כתוצאה מתקיפת סייבר משמעותית מוגנים, וכן להבטיח שהמערך והרשות המוסמכת מחזיקים בתמונת מצב מלאה ככל האפשר של רמת ההגנה במשק ובמגזר, לפי :העניין. בהתאם למוצע, הדיווח המסכם יכלול פרטים אלה תיאור מפורט על אודות תקיפת הסייבר, לרבות חומרתה והשלכותיה; סוג תקיפת הסייבר והגורמים שהיוו מקור להתרחשותה, לפי מיטב ידיעתו של הארגון; אופן הטיפול בתקיפת הסייבר, לרבות פירוט בדבר אמצעים שננקטו או שעדיין ננקטים לשם כך, אך למעט סוד מסחרי הנוגע ישירות לאופן הטיפול בתקיפת הסייבר ולאמצעים כאמור. יובהר בזה כי קיומו של סוד מסחרי כאמור אינו פוטר את הארגון החיוני מהעברת המידע, אלא שהארגון יידרש להעברת המידע באופן שאינו פוגע בסוד המסחרי. .  בדרך השנייה על הארגון החיוני להגיש בלא דיחוי2 שעות מהמועד שבו נודע לו על24 ולא יאוחר מחלוף תקיפת הסייבר, דיווח ראשוני בדבר התקיפה, הכולל מידע ,שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה אם הוא ידוע לו, וכן את פרטי הארגון והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו (כמפורט לעיל). לאחר מכן, יידרש הארגון להגיש בלא דיחוי ולא יאוחר מחלוף שעות מהמועד שבו נודע לו על תקיפת הסייבר, דיווח72 ,נוסף הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני הערכה ראשונית בדבר חומרת התקיפה והשלכותיה, ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול אם המידע האמור ידוע לו. כמו כן, הארגון יידרש להגיש, לפי ,דרישה מאת עובד מוסמך מגזרי או עובד מוסמך במערך במועד שיקבע העובד המוסמך האמור, דיווח ביניים הכולל עדכון לגבי המידע שנמסר. נוסף על כך, לא יאוחר מחלוף ימים מהמועד שבו הגיש הארגון החיוני את הדיווח30 הנוסף, הוא יידרש להגיש דיווח מסכם הכולל את הפרטים )(ב) של סעיף קטן (ב) המוצע. ואולם1( האמורים בפסקה ימים30 אם לא הסתיים הטיפול בתקיפת הסייבר בחלוף ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1354 אופן הטיפול בתקיפת הסייבר, לרבות פירוט בדבר אמצעים )3( שננקטו או שעדיין ננקטים לשם כך, למעט סוד מסחרי הנוגע ישירות ;לאופן הטיפול בתקיפת הסייבר ולאמצעים כאמור :יגיש את הדיווחים בהתאם למפורט להלן )2( שעות מהמועד שבו נודע לארגון24 יגיש, בלא דיחוי ולא יאוחר מחלוף (א) החיוני על תקיפת הסייבר, דיווח ראשוני עליה הכולל מידע שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה, אם הוא ידוע לו, וכן את פרטי ;הארגון והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו שעות מהמועד שבו נודע לארגון72 יגיש, בלא דיחוי ולא יאוחר מחלוף (ב) החיוני על תקיפת הסייבר, דיווח הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני כאמור בפסקת משנה (א), הערכה ראשונית בדבר חומרת התקיפה והשלכותיה, ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול ;אם המידע האמור ידוע לו יגיש, לפי דרישה מאת העובד המוסמך המגזרי או העובד המוסמך (ג) במערך הסייבר הלאומי, במועד שיקבע העובד המוסמך, דיווח ביניים הכולל ;)עדכון לגבי המידע שנמסר לפי פסקאות משנה (א) או (ב ימים מהמועד שבו הגיש את הדיווח לפי30 יגיש, לא יאוחר מחלוף (ד) ;))(ב1( פסקת משנה (ב), דיווח מסכם הכולל את הפרטים האמורים בפסקה על אף האמור בפסקת משנה (ד), אם לא הסתיים הטיפול בתקיפת (ה) הסייבר במועד הדיווח כאמור באותה פסקת משנה, יגיש הארגון, באותו מועד, דיווח על התקדמות הטיפול בתקיפת הסייבר, הכולל את הפרטים לפי ,אותה פסקת משנה, אם הם ידועים לו; הסתיים הטיפול בתקיפת הסייבר ימים לאחר סיום הטיפול בתקיפה, דיווח מסכם30יגיש הארגון, לא יאוחר מ־ ;כאמור באותה פסקת משנה )(ג ,דיווח לפי סעיף זה יוגש למנהל בכיר במערך ולמנהל בכיר ברשות המוסמכת )1( בדיווח אחד, באמצעות המערך, באופן מקוון באתר האינטרנט של המערך או , ואם פרסם ראש מערך הסייבר הלאומי באתרCERT–בהודעה טלפונית ל יכול שיוגש גם בדרך- האינטרנט של המערך דרך נוספת להגשת דיווח כאמור שפורסמה כאמור. מהדיווח הנוסף, יגיש הארגון דיווח על התקדמות הטיפול בתקיפת הסייבר, הכולל את כל הפרטים הנדרשים לדיווח מסכם, אם הם ידועים לו. משהסתיים הטיפול בתקיפת ימים לאחר סיום30–הסייבר, יגיש הארגון, לא יאוחר מ הטיפול בתקיפה, דיווח מסכם הכולל את הפרטים האמורים )(ב) האמורה.1( בפסקה )לסעיף קטן (ג כדי להקל על ארגונים חיוניים ולהבטיח שיידרשו להגיש דיווח אחד בלבד, מוצע לקבוע כי הדיווח לפי סעיף מוצע זה יוגש למנהל בכיר במערך ולמנהל בכיר ברשות המוסמכת, בדיווח אחד, באמצעות המערך, באופן מקוון באתר האינטרנט של המערך או בהודעה טלפונית , וכמו כן יכול שיוגש בדרך אחרת שהורה עליהCERT–ל ראש מערך הסייבר הלאומי ופורסמה באתר האינטרנט של המערך. לאחר ההגשה, הדיווח יועבר לרשות המוסמכת באופן אוטומטי או באמצעות שליחה פרטנית על ידי מערך הסייבר הלאומי. לצד זאת, כדי לאפשר התאמה מרבית לאופן ההתנהלות של רשויות מוסמכות עם המגזרים שהן פועלות מולם, מוצע לאפשר לגורם מאסדר או לשר הממונה על מערך הדיגיטל (שהוא הרשות המוסמכת לעניין פעילות משרדי הממשלה) לקבוע שהדיווח האמור יוגש בדיווח אחד באמצעות הרשות המוסמכת, בדרך שיקבע הגורם המאסדר או השר הממונה כאמור, ובלבד שייקבע בתקנות כאמור שהרשות המוסמכת תעביר את הדיווח למנהל בכיר במערך מייד עם קבלתו. ד ב ר י ה ס ב ר 1355הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ), גורם מאסדר או השר הממונה על הרשות המוסמכת1( על אף הוראות פסקה )2( , רשאי לקבוע כי הדיווח1 ) להגדרה "רשות מוסמכת" שבסעיף2( כאמור בפסקה ), בדיווח אחד, באמצעות הרשות המוסמכת כפי1( יוגש למנהלים האמורים בפסקה שיקבע, ובלבד שיקבע שהרשות המוסמכת תעביר את הדיווח למנהל בכיר במערך מייד עם קבלתו; גורם מאסדר או השר הממונה כאמור יידע את המערך מבעוד מועד על כוונתו לקבוע כאמור בסעיף קטן זה; קבע גורם מאסדר או השר הממונה כאמור תקנות לפי פסקה זו, יפרסם הודעה על כך באתר האינטרנט של הרשות המוסמכת. סימן ג': סמכויות לשם התמודדות עם תקיפת סייבר חמורה הגדרה- 'סימן ד .13 תקיפת סייבר שיש חשש ממשי כי מתקיים לגביה- "בסימן זה, "תקיפת סייבר חמורה :אחד או יותר מאלה ;היא פוגעת ברציפות התפקודית של ארגון חיוני, ובכלל זה בתהליך חיוני בארגון )1( ;היא פוגעת בזמינות, ברציפות או במהימנות של השירות שארגון חיוני מספק )2( היא מאפשרת לגורם שאינו מורשה לכך גישה לנכס מידע משמעותי של ארגון )3( ;חיוני היא מבוצעת נגד ארגון חיוני או באמצעותו והיא בעלת מאפיינים המעידים על חומרה )4( :מיוחדת, לרבות מיתאר התקיפה או זהות התוקף, ומתקיים לגביה אחד מאלה היא עלולה לפגוע בביטחון המדינה או בביטחון הציבור או לפגוע באופן (א) ;חמור ברציפות אספקתם של שירותים חיוניים לציבור קיים חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לארגון (ב) הנתקף. עוד מוצע לקבוע כי הגורם המאסדר או השר הממונה על מערך הדיגיטל יידע את המערך מבעוד מועד על כוונתו לקבוע דרך דיווח אחרת כאמור, ואם קבע הוראות כאמור לעניין דרך הדיווח, יפרסם על כך הודעה באתר האינטרנט של הרשות המוסמכת. סימן ג': סמכויות לשם התמודדות עם תקיפת סייבר חמורה לשם הבטחת התמודדות הולמת עם תקיפות כללי סייבר חמורות כלפי ארגון חיוני או ספק שירותים דיגיטליים ושירותי אחסון, או באמצעות ארגון או ספק כאמור, בהתחשב בנזק הפוטנציאלי החמור שעלול להיגרם כתוצאה מתקיפה כאמור, מוצע, לצד החובות המוטלות על אותם ארגונים, להסדיר את הסמכויות שיוקנו לגופי המדינה השונים כלפי אותם ארגונים, ואת הפעולות שגורמים אלה יוכלו לבצע, לצורך איתור, מניעה או בלימה של תקיפות סייבר חמורות. יצוין כי סעיפים דומים במהותם נחקקו במסגרת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים 2023-הדיגיטליים ושירותי האחסון (הוראת שעה), התשפ"ד הוראת השעה), ביחס למגזר השירותים הדיגיטליים- (להלן ושירותי האחסון, והביאו לשיפור ניכר בהגנת הסייבר של המשק הישראלי. ההסדר המוצע בסימן זה נועד, בהתבסס בין השאר על הניסיון המצטבר ביישום הוראת השעה, לעגן הסדרים דומים ביחס לארגונים חיוניים וכן ביחס לארגונים במגזר השירותים הדיגיטליים ושירותי האחסון גם אם אינם ארגונים חיוניים. מוצע לקבוע שתקיפת סייבר חמורה לעניין חוק13 סעיף זה, היא תקיפת סייבר שיש חשש ממשי כי מתקיימים לגביה אחד או יותר מהמאפיינים שלהלן, שהם :מאפיינים המקנים לתקיפה ממד מיוחד של חומרה .  היא פוגעת ברציפות התפקודית של ארגון חיוני, ובכלל1 זה בתהליך חיוני בארגון. .  היא פוגעת בזמינות, ברציפות או במהימנות השירות2 שארגון חיוני מספק. .  היא מאפשרת לגורם שאינו מורשה לכך גישה לנכס3 מידע משמעותי של ארגון חיוני. .  היא מבוצעת נגד ארגון חיוני או באמצעותו והיא4 בעלת מאפיינים המעידים על חומרה מיוחדת, לרבות מתאר התקיפה או זהות התוקף, וכמו כן היא עלולה לפגוע בביטחון המדינה או בביטחון הציבור או לפגוע באופן ;חמור ברציפות אספקתם של שירותים חיוניים לציבור או שקיים חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לארגון הנתקף. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1356 מתן הוראות לארגון חיוני במגזר המנוי בתוספת השלישית להתמודדות עם תקיפת סייבר חמורה .14 ") להגדרה "רשות מוסמכת1( מנהל בכיר ברשות מוסמכת כאמור בפסקה (א) רשות מוסמכת), רשאי לקבוע, ככל האפשר בנסיבות העניין- (בסעיף זה1 שבסעיף בהתייעצות עם המערך, כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ארגון חיוני במגזר שהרשות מוסמכת לעניין פעילות בו בתחום הגנת הסייבר, או תקיפה כאמור הנעשית באמצעות הארגון החיוני, הדורשת את מעורבותו. היה למנהל בכיר ברשות מוסמכת יסוד סביר להניח כי תקיפת סייבר שמתרחשת (ב) או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר שמתקיים לגביה האמור בסעיף קטן (א), רשאי הוא, בעצמו או באמצעות עובד מוסמך מגזרי, לדרוש מהארגון החיוני להציג לו כל ידיעה או מסמך, לרבות פלט, כדי להבטיח או להקל את ביצועו של אותו סעיף קטן. , סעיף מוצע זה נועד לאפשר לרשות המוסמכת14 סעיף בנסיבות מסוימות, לתת הוראות לארגון חיוני כללי ,במגזר המנוי בתוספת הראשונה לחוק המוצע לשם התמודדות עם תקיפת סייבר שמתרחשת או שיש חשש ממשי שעומדת להתרחש, ושמנהל בכיר ברשות המוסמכת מצא שהיא תקיפת סייבר חמורה כהגדרתה , הדורשת את מעורבותו. הנחת המוצא היא13 בסעיף ,שארגון חיוני יתמודד כנדרש עם תקיפת סייבר חמורה אך יחד עם זאת, לנוכח ההשלכות האפשריות של תקיפה כזו, מוצע לאפשר לרשות מוסמכת לתת הוראות מחייבות לארגון חיוני בנסיבות שבהן אותו ארגון אינו מתמודד באופן הולם עם תקיפת סייבר חמורה. תכליתן של הוראות אלה היא לוודא שהארגון החיוני פועל כנדרש לאיתור התקיפה, מניעתה או בלימתה, וזאת כדי לצמצם את נזקי התקיפה, ועל ידי כך להגן על האינטרס הציבורי העלול להיפגע כתוצאה מתקיפת הסייבר החמורה. הסעיף המוצע בא לקבוע הליך מינהלי סדור שיופעל באופן מדורג בכמה ,שלבים, ושמגולם בו איזון בין הצורך להגן על ארגונים על האינטרס הציבורי, מפני תקיפת סייבר חמורה- ובכך לבין הצורך להגן על אינטרסים נוספים של הארגון המותקף ,ועל זכויות של צדדים שלישיים, דוגמת עובדי הארגון ובעלי עניין נוספים. )לסעיף קטן (א מוצע להסמיך מנהל בכיר ברשות מוסמכת כאמור לחוק1 ) להגדרה "רשות מוסמכת" שבסעיף1( בפסקה ,המוצע, לקבוע, בהתייעצות עם מערך הסייבר הלאומי אלא אם כן מתקיימות נסיבות שאינן מאפשרות את קיום ההתייעצות, כי תקיפת סייבר שמתרחשת או שיש חשש ,ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה המוצע, נגד או באמצעות ארגון חיוני13 כהגדרתה בסעיף במגזר שהרשות המוסמכת פועלת לגביו, הדורשת את מעורבותו. יובהר כי לא בכל מצב שבו מתקיימת תקיפת סייבר חמורה תידרש מעורבות הרשות המוסמכת. הציפייה היא כי ארגון חיוני יתמודד עם תקיפות סייבר חמורות באופן הולם, ולכן אם נראה שהארגון מודע לתקיפת הסייבר החמורה ומתמודד עימה באופן הולם, לא תידרש בהכרח קביעה כאמור. )לסעיף קטן (ב ,כדי להקל על מימוש הסמכות המוצעת לעיל ובכלל זה לדאוג לכך שלפני המנהל הבכיר יהיו הנתונים הנדרשים לצורך הקביעה אם תקיפה מסוימת היא תקיפת סייבר חמורה, מוצע לקבוע שאם היה למנהל בכיר ברשות מוסמכת יסוד סביר להניח כי תקיפת סייבר שמתרחשת או שקיים חשש ממשי כי היא עומדת להתרחש, היא תקיפת , נגד ארגון חיוני במגזר13 סייבר חמורה כהגדרתה בסעיף שהרשות המוסמכת פועלת לגביו, או שהיא תקיפה כאמור הנעשית באמצעות הארגון החיוני, ונדרשת מעורבות מצידו לשם התמודדות איתה, הוא יהיה רשאי, בעצמו או באמצעות עובד מוסמך מגזרי, לדרוש מהארגון החיוני להציג לו כל ידיעה או מסמך, לרבות פלט, הנדרשים כדי להקל על הקביעה אם התקיפה האמורה היא תקיפת סייבר חמורה. יובהר כי הפנייה של רשות מוסמכת לארגון לצורך דרישת ידיעות ומסמכים מכוח סעיף מוצע זה תבוצע באופן מצומצם והדרגתי ככל האפשר, בשים לב לנתונים הקיימים בידי הרשות ולמידע הנדרש לה לבחינת חומרת התקיפה. כך לדוגמה, אם לצורך החלטה בשאלה אם התקיפה הנבחנת היא תקיפת סייבר חמורה, נדרש למנהל המוסמך מידע בנוגע לאפשרות השפעת התקיפה על ארגון אחר, לצורך הערכת הסיכון הנגזר מן התקיפה, הרי דרישת המידע הראשונית תתמקד במידע הנוגע לכך. כמו כן, במקרה שבו קיים ספק באשר למאפיינים הטכנולוגיים של התקיפה לשם הבנת חומרתה, תתמקד הפנייה, ככל האפשר, בדרישה ממוקדת לקבלת המאפיינים הטכנולוגיים הנדרשים לצורך הבחינה האמורה. ד ב ר י ה ס ב ר 1357 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו הודיע עובד מוסמך מגזרי לארגון חיוני, לאחר שהזדהה לפניו, על קביעה כאמור (ג) :בסעיף קטן (א), יחולו הוראות אלה העובד המוסמך המגזרי יפרט לפני הארגון החיוני את התשתית העובדתית )1( והמקצועית לקביעה כאמור, אם אין בכך כדי לחשוף מקורות מידע, שיטות או ;אמצעים העובד המוסמך המגזרי ייתן לארגון החיוני הזדמנות לפעול באופן הולם )2( לאיתור התקיפה, מניעתה או בלימתה, בתוך פרק זמן סביר שיימסר לארגון, והכול ;בהתחשב במאפייני תקיפת הסייבר הארגון החיוני יעדכן את העובד המוסמך המגזרי בדבר הפעולות שביצע )3( ;)2( לאיתור התקיפה, מניעתה או בלימתה בתוך פרק זמן סביר כאמור בפסקה מצא העובד המוסמך המגזרי כי הארגון החיוני לא פעל באופן הולם לאיתור )4( ), רשאי הוא, אם מצא שהדבר2( התקיפה, מניעתה או בלימתה, כאמור בפסקה נדרש לשם איתור התקיפה, מניעתה או בלימתה, ולאחר שהודיע לארגון החיוני על כוונתו לתת לו הוראות לפי פסקה זו ונתן לו הזדמנות להשמיע טענותיו, לתת ,לו, ככל האפשר בנסיבות העניין בהתייעצות עם מערך הסייבר הלאומי, הוראות בכתב או בעל פה, שיבצע הארגון, ובכלל זה הוראות לביצוע פעולות להגנת סייבר ,בחומר מחשב או הוראות למסירת ידיעה או מסמך הנוגעים לאיתור התקיפה מניעתה או בלימתה, לרבות העתק של חומר מחשב, לידי העובד; במתן הוראות - לפי פסקה זו )לסעיף קטן (ג על פי המוצע, תנאי להפעלת הסמכות למתן הוראות ,להתמודדות עם תקיפת סייבר חמורה לפי הסעיף המוצע הוא מתן הודעה בידי עובד מוסמך מגזרי, לארגון חיוני, על קביעת מנהל בכיר כאמור בסעיף קטן (א), ולאחר שהודיע :כאמור יחל הליך מדורג, כמפורט להלן .  תחילה, יפרט העובד המוסמך המגזרי לפני הארגון1 החיוני את התשתית העובדתית והמקצועית לקביעה כי מדובר בתקיפה חמורה, אם אין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים. .  לאחר מתן ההודעה כאמור, העובד המוסמך ייתן2 לארגון החיוני הזדמנות לפעול באופן הולם לאיתור התקיפה, מניעתה, ובכלל זה מניעתה מבעוד מועד או מניעת הישנותה, או בלימתה, הכול בתוך פרק זמן סביר שיקבע העובד המוסמך המגזרי ויימסר לארגון החיוני על ידו; פרק הזמן כאמור ייקבע בהתחשב, בין השאר, במאפייני תקיפת הסייבר. .  בהמשך לכך, הארגון החיוני יעדכן את העובד המוסמך3 המגזרי, בתוך פרק הזמן שקבע לכך העובד האמור, בדבר הפעולות שביצע למטרות הנזכרות לעיל. .  אם העובד המוסמך המגזרי הגיע למסקנה שהארגון4 החיוני לא פעל באופן הולם לאיתור תקיפת הסייבר החמורה, מניעתה או בלימתה, הוא יהיה רשאי, אם מצא ,שהדבר נדרש לאיתור התקיפה, מניעתה או בלימתה ,להודיע לארגון החיוני על כוונתו לתת לו הוראות מחייבות ולארגון תינתן הזדמנות להשמיע את טענותיו לעניין הכוונה לתת לו הוראות כאמור. לעניין זה, יודגש כי לא יינתנו הוראות מכוח סעיף קטן מוצע זה לארגון חיוני אשר טיפל באופן הולם באיתור התקיפה, מניעתה או בלימתה. לאחר שמיעת טענות הארגון החיוני, יוכל העובד המוסמך המגזרי, ככל האפשר בנסיבות העניין בהתייעצות עם מערך הסייבר הלאומי כגורם הלאומי המתכלל, לתת לארגון הוראות, בכתב או בעל פה, וזאת ככל שהדבר נדרש לצורך איתור התקיפה, מניעתה או בלימתה. מובהר כי גם בשלב מתקדם זה בהליך מתן ההוראות, החוק המוצע אינו מסמיך את העובד המוסמך המגזרי לבצע בעצמו פעולות במחשביו של הארגון, וההוראות שייתן העובד יבוצעו על ידי הארגון. על פי המוצע, במסגרת הפעלת סמכותו לפי סעיף ,זה, יוכל העובד המוסמך לתת לארגון החיוני, בין השאר הוראות לביצוע פעולות להגנת סייבר בחומר מחשב לחוק המוצע, היינו להורות1 כהגדרתן המוצעת בסעיף לארגון לתת הוראות למחשב בשפת קריאת מחשב לשם הגנת סייבר. בתוך כך, יוכל העובד המוסמך להורות לארגון החיוני לבצע סריקה, עיבוד, הסרה של חומר מחשב הנוגע לתקיפת סייבר, התקנת סוג תוכנה שפעולתו מוגבלת לרשת הארגון בלבד, חסימה או ניתוק של מחשב או יצירת עותק של חומר מחשב. כמו כן, יוכל העובד המוסמך המגזרי לתת סוגי הוראות נוספים מכוח סעיף מוצע זה, ובכלל זה הוראה ,למסור לידיו ידיעה או מסמך הנוגעים לאיתור התקיפה לרבות עותק של חומר מחשב. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1358 ישקול העובד המוסמך המגזרי את השפעתן האפשרית על פעילות (א) הארגון החיוני ועל צד שלישי, ובכלל זה על הזכות לפרטיות, וכן את העלות הכלכלית המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות התפקודית של הארגון, למיטב ידיעתו של העובד, ואם הארגון החיוני מסר ; בהתחשב בהערכה שמסר- הערכה לעניין זה יורה העובד המוסמך המגזרי לנקוט אמצעי שפגיעתו פחותה לאיתור (ב) ;התקיפה, מניעתה או בלימתה ;יפרט העובד המוסמך המגזרי את המועד האחרון לביצוע ההוראה (ג) ), יפעל הארגון4( נתן עובד מוסמך מגזרי לארגון החיוני הוראה לפי פסקה 5) ( )(ג), וידווח על4( בהתאם לה עד המועד האחרון שנקבע לביצועה כאמור בפסקה אופן ביצועה לעובד המוסמך המגזרי עד המועד האמור. )(ד ,מסר עובד מוסמך מגזרי לארגון חיוני הודעה כאמור בסעיף קטן (ג), ימסור הארגון )1( בלא דיחוי, עדכון בדבר תקיפת הסייבר החמורה לכל ארגון העלול להיפגע ממנה ישירות ובאופן ממשי, וידווח על כך בכתב לעובד המוסמך המגזרי, והכול אלא אם כן הורה העובד המוסמך המגזרי, בהתייעצות עם מערך הסייבר הלאומי, אחרת. ,מנהל בכיר ברשות המוסמכת רשאי, לפי בקשה בכתב מאת ארגון חיוני )2( ובהתייעצות עם מערך הסייבר הלאומי, לפטור את הארגון החיוני מחובת היידוע ) או לדחות את מועד היידוע, אם שוכנע כי קיימות נסיבות1( כאמור בפסקה חריגות המצדיקות זאת. יובהר כי בהתאם להנחיית היועצת המשפטית , שעניינה "כללים מנחים לגיבוש1.2500 לממשלה מספר אוקטובר10( הסדרים דיגיטליים" מיום י"א בתשרי התש"ף אמצעי- ככל הניתן- ), "הסדר דיגיטלי לא יעדיף2019 טכנולוגי אחד על פני אמצעי טכנולוגי אחר, אם שניהם מגשימים את השימושים והמטרות של אותו ההסדר". בהתאם לכך, מוצע לקבוע שהעובד המוסמך המגזרי יהיה רשאי, במסגרת הפעלת סמכותו לפי סעיף זה, להורות על ,התקנת תוכנה מסוג מסוים ולא על התקנת תוכנה מסוימת מקום שבו יש יותר מתוכנה אחת המגשימה את אותם השימושים והמטרות. זאת ועוד, בהתאם להגדרה המוצעת למונח "פעולה להגנת סייבר בחומר מחשב", מתן הוראה ,מחייבת על ידי עובד מוסמך מגזרי לפי חוק מוצע זה להתקנת תוכנה, תתייחס לסוג תוכנה שפעולתו מוגבלת לרשת של הארגון החיוני, בלבד. מוצע להתוות את שיקול דעתו של העובד המוסמך לחוק המוצע, כך14 המגזרי בהפעלת סמכות לפי סעיף שבמתן הוראות לפי סעיף זה הוא יידרש לשקול את השפעתן האפשרית של ההוראות על פעילות הארגון החיוני ועל צד שלישי, ובכלל זה על הזכות לפרטיות, וכן את העלות הכלכלית המוערכת של יישום ההוראות ואת ,השפעתן האפשרית על הרציפות התפקודית של הארגון למיטב ידיעתו של העובד, ואם הארגון החיוני מסר הערכה בהתחשב בהערכה שמסר.- כלכלית לעניין זה כמו כן, כדי להדגיש את חובת העובד המוסמך המגזרי לפעול במידתיות, מוצע לקבוע שהוא יורה לנקוט אמצעי שפגיעתו פחותה לאיתור התקיפה, מניעתה או בלימתה. יובהר בהקשר זה שבמרבית המקרים המידע המתקבל בהקשר של התמודדות עם תקיפת סייבר הוא מידע טכנולוגי שאינו מכיל מידע אישי כהגדרתו בחוק מידע אישי, חוק- (להלן1981-הגנת הפרטיות, התשמ"א הגנת הפרטיות). נוסף על כך, מוצע לקבוע שבעת מתן ההוראה, העובד ,המוסמך המגזרי יפרט את המועד האחרון לביצועה והארגון יידרש לפעול בהתאם לה עד למועד שצוין ולדווח על אופן ביצועה לעובד המוסמך המגזרי. )לסעיף קטן (ד בשל הצורך למנוע התפשטות תקיפות סייבר חמורות ולצמצם את השלכותיהן, מוצע לקבוע כי אם מסר עובד ,מוסמך מגזרי לארגון חיוני הודעה על תקיפה חמורה בהתאם לסעיף קטן (ג) המוצע, הארגון יידרש למסור, בלא דיחוי, עדכון בדבר תקיפת הסייבר החמורה לכל ארגון העלול להיפגע ממנה ישירות ובאופן ממשי, ולדווח על העדכון שמסר כאמור, בכתב, לעובד המוסמך המגזרי, והכול אלא אם כן הורה העובד המוסמך המגזרי, בהתייעצות עם מערך הסייבר הלאומי, אחרת. נוסף על כך, מוצע שאם מתקיימות נסיבות חריגות המצדיקות זאת, יוכל מנהל בכיר ברשות מוסמכת, לפי בקשה בכתב מאת הארגון החיוני, ולאחר התייעצות עם מערך הסייבר הלאומי, לפטור את הארגון החיוני מהחובה למסור עדכון כאמור, או לדחותה. ד ב ר י ה ס ב ר 1395הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו מתן הוראות לארגון חיוני שהוא גוף ממשלתי להתמודדות עם תקיפת סייבר חמורה .15 ) להגדרה "רשות מוסמכת", כי2( קבע מנהל בכיר ברשות מוסמכת כאמור בפסקה (א) תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת ,סייבר חמורה נגד גוף ממשלתי או תקיפה כאמור הנעשית באמצעות גוף ממשלתי הדורשת את מעורבותו, והודיע על כך עובד מוסמך מגזרי לגוף הממשלתי, יפעל הגוף הממשלתי להתמודדות עם התקיפה בהתאם להוראות שייתן לו העובד המוסמך המגזרי, בהתייעצות עם המערך. במתן הוראות לפי סעיף קטן (א) ישקול העובד המוסמך המגזרי את השפעתן (ב) האפשרית על פעילות הגוף הממשלתי ועל צד שלישי, ובכלל זה על הזכות לפרטיות, וכן את העלות הכלכלית המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות התפקודית של הגוף, למיטב ידיעתו של העובד, ואם הגוף הממשלתי מסר הערכה לעניין , בהתחשב בהערכה שמסר, ויורה לנקוט אמצעי שפגיעתו פחותה לאיתור התקיפה- זה מניעתה או בלימתה. הסמכות הנתונה למנהל בכיר ברשות מוסמכת ולעובד מוסמך מגזרי לפי סעיף (ג) (ב) תהיה נתונה למנהל בכיר ברשות מוסמכת כאמור בסעיף קטן (א) ולעובד מוסמך14 מגזרי גם לעניין סעיף זה. מתן הוראות להתמודדות עם תקיפת סייבר חמורה שנקבעה בידי מנהל בכיר במערך .16 הסמכויות הנתונות למנהל בכיר ברשות מוסמכת ולעובד מוסמך מגזרי כלפי ארגון (א) , יהיו נתונות גם למנהל בכיר במערך ולעובד מוסמך במערך1 ו־514 חיוני לפי סעיפים :כמפורט להלן, ויחולו לעניין זה ההוראות לפי אותם סעיפים, בשינויים המחויבים ) לסעיף קטן (א15 סעיף מוצע לקבוע הסדר דומה להסדר המוצע לחוק המוצע, לעניין תקיפת סייבר חמורה נגד14 בסעיף גוף ממשלתי או באמצעותו, בהתאמות הנדרשות. יובהר שביחס לגופים ממשלתיים, בשל אופיים הייחודי והציפייה המוגברת מהם לפעול באופן מיידי לטיפול בתקיפות סייבר חמורות בהתאם להנחיות הרשות המוסמכת, לא מוצע בסעיף זה הליך מדורג כפי שמוצע לקיים טרם מתן הוראות לארגונים חיוניים שאינם גופים ממשלתיים, כאמור בסעיף לחוק המוצע.14 על פי המוצע, יוכל מנהל בכיר ברשות המוסמכת מערך הדיגיטל- (שהיא, לגבי הגופים הממשלתיים הלאומי), לקבוע שתקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש היא תקיפת סייבר המוצע, נגד גוף ממשלתי או13 חמורה כהגדרתה בסעיף באמצעותו, הדורשת את מעורבותו. לאחר שהודיע על כך העובד המוסמך המגזרי לגוף הממשלתי, הוא יוכל לתת לו הוראות להתמודדות עם התקיפה, בהתייעצות עם מערך הסייבר הלאומי כגורם המקצועי הלאומי המתכלל בתחום הגנת הסייבר, והגוף הממשלתי יפעל בהתאם לאותן הוראות. )לסעיף קטן (ב מוצע להתוות את שיקול הדעת של העובד המוסמך )המגזרי ולקבוע כי במתן הוראות כאמור בסעיף קטן (א )המוצע, הוא ישקול את השיקולים המנויים בסעיף (ב המוצע. )לסעיף קטן (ג מוצע להקנות למנהל בכיר ברשות מוסמכת ולעובד מוסמך מגזרי כאמור, כלומר למנהל בכיר ולעובד מוסמך ,(ב) לחוק המוצע14 במערך הדיגיטל, את הסמכות לפי סעיף שעניינה דרישת ידיעות ומסמכים מגוף ממשלתי, בנסיבות המנויות באותו סעיף. הצעת חוק זו באה לעגן, בין השאר, כללים16 סעיף הנוגעים להתמודדות של ארגון חיוני עם תקיפת סייבר חמורה, וזאת ככל שנדרש בליווי היחידה המגזרית ברשות המוסמכת הנוגעת לעניין. במקביל, בשים לב לכך שמערך הסייבר הלאומי הוא הגוף הלאומי בעל ראיית הרוחב המחזיק בכלים נוספים להתמודדות עם תקיפות סייבר חמורות, נקודת המוצא בראייה לאומית היא שבנסיבות מסוימות נדרשת מעורבות ישירה של מערך הסייבר הלאומי בליווי ההתמודדות של הארגון עם תקיפות סייבר חמורות. לפיכך, מוצע לקבוע בסעיף זה את הנסיבות שבהתקיימן יוכל המערך להתערב וללוות ארגון חיוני שמבוצעת נגדו או באמצעותו תקיפת סייבר חמורה. )לסעיף קטן (א מוצע להקנות למנהל בכיר במערך את הסמכות 15– ו14 הנתונה למנהל בכיר ברשות מוסמכת לפי סעיפים לחוק המוצע, לקבוע כי תקיפת סייבר נגד ארגון חיוני כאמור בהם היא תקיפת סייבר חמורה כהגדרתה בסעיף , הדורשת את מעורבותו, וכן להקנות לעובד מוסמך13 האמורים15– ו14 במערך את הסמכויות הנתונות בסעיפים לעובד מוסמך מגזרי. הוראות הסעיפים האמורים יחולו על ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1360 ;כלפי ארגון חיוני )1( כלפי ספק שירותים דיגיטליים ושירותי אחסון, ויקראו את ההגדרה "תקיפת )2( , לעניין ספק כאמור, בשינויים המחויבים.13 סייבר חמורה" שבסעיף על אף האמור בסעיף קטן (א), עובד מוסמך במערך רשאי להפעיל סמכויות (ב) כלפי ארגון חיוני, רק אם קבע ראש15 או14 הנתונות לעובד מוסמך מגזרי לפי סעיפים מערך הסייבר הלאומי על פי פנייה מאת רשות מוסמכת שיש מקום לסייע לה בהפעלת הסמכויות לפי אותם סעיפים, או אם קבע, לאחר שקיים ככל האפשר בנסיבות העניין התייעצות עם הרשות המוסמכת, שקיים חשש ממשי כי תקיפת סייבר חמורה נגד הארגון החיוני או באמצעותו תתפשט במהירות לארגונים רבים, תתפשט ליותר ממגזר - "אחד או תפגע בביטחון המדינה או בביטחון הציבור; בסעיף קטן זה, "ארגון חיוני למעט ארגון חיוני ממגזר שמערך הסייבר הלאומי הוא הרשות המוסמכת לעניין פעילות בתחום הגנת הסייבר של ארגונים הפועלים בו. קבע ראש מערך הסייבר הלאומי כאמור בסעיף קטן (ב), יידע את הרשות המוסמכת (ג) בדבר קביעתו, והסמכויות לעניין תקיפת הסייבר יופעלו כלפי הארגון החיוני על פי הוראה מאת עובד מוסמך במערך, בלבד, וזאת ככל האפשר בנסיבות העניין באמצעות הרשות המוסמכת. תיעוד .17 עובד מוסמך מגזרי או עובד מוסמך במערך יתעד בכתב את ההוראות שניתנו לארגון וימסור לארגון נוסח כתוב של ההוראות שכולל מידע בלתי16 או15 ,14 לפי סעיפים מסווג בלבד, בהקדם האפשרי לאחר מתן ההוראות. פי המוצע, בשינויים המחויבים, לעניין הפעלת הסמכויות לפי סעיף מוצע זה. על פי המוצע, סמכויות אלה יוקנו לגורמים הנזכרים כלפי ארגונים חיוניים וכן כלפי ספקי שירותים דיגיטליים ושירותי אחסון אף אם אינם ארגון חיוני. ביחס למגזר ,השירותים הדיגיטליים ושירותי האחסון, שכאמור לעיל מערך הסייבר הלאומי הוא הרשות המוסמכת לגביו, מוצע כי הסמכות למתן הוראות להתמודדות עם תקיפת סייבר חמורה תהיה נתונה לעניין כלל הארגונים במגזר ולא רק ביחס לארגונים חיוניים במגזר זה. הסדר זה נדרש בשל המאפיינים הייחודיים של המגזר האמור, ובהם: החיבוריות הגבוהה של ספקי שירותי אחסון וספקי שירותים דיגיטליים ,שעלולה להיות מנוצלת בידי תוקפים לגרימת נזק רחב היקף ופוטנציאל הנזק למשק הגלום בתקיפת סייבר חמורה נגד ארגונים במגזר זה גם אם אינם ארגונים חיוניים. יודגש כי כיום, מוקנית סמכות דומה למערך הסייבר הלאומי מכוח הוראת השעה ביחס למגזר השירותים הדיגיטליים ושירותי האחסון, והניסיון מיישומה מלמד כי הסמכות חיונית להגנת הסייבר במגזר זה לנוכח המאפיינים המתוארים לעיל. )לסעיף קטן (ב מוצע לקבוע ביחס לארגונים חיוניים שאינם שייכים ,למגזר שבו מערך הסייבר הלאומי הוא הרשות המוסמכת כי עובד מוסמך במערך יוכל להפעיל כלפיהם סמכות לפי לחוק המוצע, רק אם מתקיימת אחת15 או14 סעיפים :מהנסיבות המנויות בסעיף קטן (ב), והן א.  אם רשות מוסמכת פנתה לראש מערך הסייבר הלאומי בבקשה לסיוע בהפעלת סמכויותיה כלפי ארגון חיוני לפי האמורים, וראש המערך מצא כי יש15 או14 סעיפים ,מקום להיענות לפנייתה. פנייה כאמור עשויה לנבוע למשל, מהצורך להסתייע ביכולות המצויות בידי מערך הסייבר הלאומי במסגרת התמודדות עם התקיפה, אשר אינן מצויות בידי הרשות המוסמכת. ב.  אם ראש המערך קבע, לאחר שקיים ככל האפשר בנסיבות העניין התייעצות עם הרשות המוסמכת, שקיים חשש ממשי כי תקיפת סייבר חמורה נגד הארגון החיוני או באמצעותו תתפשט במהירות לארגונים רבים, תתפשט ליותר ממגזר אחד או תפגע בביטחון המדינה או בביטחון הציבור. )לסעיף קטן (ג ,כדי להבטיח תיאום וסינכרון מול הארגון החיוני מוצע לקבוע כי מרגע שראש מערך הסייבר הלאומי הפעיל את סמכותו לפי סעיף קטן (ב) המוצע, וקבע כי מתקיימות הנסיבות כאמור בו להפעלת סמכויות עובד מוסמך במערך כלפי ארגון חיוני, הוא יידע את הרשות המוסמכת בדבר קביעתו, והסמכויות לעניין תקיפת הסייבר יופעלו כלפי ,הארגון החיוני על פי הוראה מאת עובד מוסמך במערך בלבד, וזאת ככל האפשר בנסיבות העניין באמצעות הרשות המוסמכת, שיש עדיפות לכך שהיא זו שתהיה בקשר ישיר עם הארגון החיוני. מוצע לקבוע במפורש שעובד מוסמך מגזרי או17 סעיף עובד מוסמך במערך יתעד בכתב את ההוראות שניתנו לארגון לצורך התמודדות עם תקיפת סייבר חמורה ד ב ר י ה ס ב ר 1361 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו מתן הוראות להתמודדות עם תקיפת סייבר חמורה שנקבעה בידי צה"ל או השירות .18 ממלא מקומו, רשאי לקבוע כי- ראש חטיבת הגנה בסייבר בצה"ל, ובהיעדרו (א) תקיפת סייבר שמתרחשת או שיש חשש ממשי שהיא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ארגון חיוני, ארגון חיוני למערכת הביטחון או ספק שירותים דיגיטליים או שירותי אחסון, או באמצעות ארגון כאמור, הדורשת מעורבות של המערך או מלמ"ב לפי סימן זה או סימן ד', בהתאמה, אם מצא כי יש חשש ממשי שיש בה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל. - ראש שירות הביטחון הכללי או עובד בכיר בשירות הביטחון הכללי (בפרק זה (ב) השירות), בדרגת ראש חטיבה לפחות, שראש השירות הסמיכו לעניין חוק זה (בחוק ממלא מקומו, רשאי לקבוע כי תקיפת סייבר- מנהל בכיר בשירות), ובהיעדרו- זה שמתרחשת או שקיים חשש ממשי שהיא עומדת להתרחש היא תקיפת סייבר חמורה נגד ארגון כאמור בסעיף קטן (א) או באמצעותו, הדורשת מעורבות של המערך או מלמ"ב לפי סימן זה או סימן ד', בהתאמה, אם מצא כי הדבר נדרש לשם מילוי תפקידי השירות ) לחוק שירות הביטחון הכללי.2(–) ו1()(ב7 כאמור בסעיף קבע ראש חטיבת ההגנה בסייבר בצה"ל או מנהל בכיר בשירות, כאמור בסעיפים (ג) (א) ויחולו16 קטנים (א) או (ב), יראו את הקביעה כקביעת מנהל בכיר במערך לפי סעיף (א) ו–(ג), בשינויים המחויבים; ואולם, הייתה הקביעה כאמור לעניין16 הוראות סעיף ארגון חיוני למערכת הביטחון, יראו אותה כקביעה של מנהל בכיר במלמ"ב לפי סעיף ).2()(א21 (א) כפי שהוחל בסעיף14 לחוק המוצע. עוד מוצע כי אותו16 או15 ,14 לפי סעיפים עובד ימסור לארגון נוסח כתוב של ההוראות שכולל מידע בלתי מסווג בלבד, בהקדם האפשרי לאחר מתן ההוראות. מתוך הבנת הסיכון וכדי לתת מענה לאומי18 סעיף כולל, מוצע לקבוע נסיבות מתוחמות שבהן תינתן סמכות לבעלי תפקידים בכירים בצבא הגנה צה"ל) או בשירות הביטחון הכללי (להלן- לישראל (להלן השירות) לקבוע שתקיפת סייבר נגד ארגונים חיוניים- ,מסוימים המנויים בסעיף היא תקיפת סייבר חמורה וזאת כאשר הם הגורמים שבידיהם התשתית העובדתית הנדרשת להערכת חומרת התקיפה והשלכותיה האפשריות כמוצע בסעיף. יובהר כי מדובר בסמכות קביעה בלבד, שלא נגזרות ממנה סמכויות לביצוע פעולות או למתן הוראות על ידי צה"ל או השירות. כלומר, אם אותם בעלי תפקידים בכירים יקבעו שתקיפת סייבר מסוימת היא תקיפת סייבר חמורה, הסמכויות למתן הוראות להתמודדות איתה יוקנו לפי המוצע למערך הסייבר הלאומי, ולעניין ארגונים , למלמ"ב- חיוניים למערכת הביטחון כהגדרתם המוצעת בהתאם לסמכויות שמוצע להקנות להם לעניין זה לפי החוק המוצע, וכמפורט להלן. )לסעיף קטן (א ,מוצע להסמיך את ראש חטיבת ההגנה בסייבר בצה"ל את ממלא מקומו, לקבוע שתקיפת סייבר- ובהיעדרו שמתרחשת או שיש חשש ממשי שהיא עומדת להתרחש לחוק13 היא תקיפת סייבר חמורה, כהגדרתה בסעיף המוצע, נגד ארגון חיוני, ארגון חיוני למערכת הביטחון או ספק שירותים דיגיטליים או שירותי אחסון, או באמצעות ארגון כאמור, הדורשת מעורבות של מערך הסייבר הלאומי ,לפי סימן זה או מעורבות של מלמ"ב לפי סימן ד' המוצע וזאת אם מצא כי קיים חשש ממשי שיש בתקיפה האמורה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל. )לסעיף קטן (ב מוצע להסמיך את ראש השירות או עובד בכיר בשירות, בדרגת ראש חטיבה לפחות, שראש השירות ,) מנהל בכיר בשירות- הסמיכו לעניין חוק זה (להלן את ממלא מקומו, לקבוע כי תקיפת סייבר- ובהיעדרו שמתרחשת או שיש חשש ממשי שהיא עומדת להתרחש )היא תקיפת סייבר חמורה נגד ארגון כאמור בסעיף קטן (א המוצע או תקיפה כאמור הנעשית באמצעותו, הדורשת מעורבות של מערך הסייבר הלאומי או של מלמ"ב לפי סימן מוצע זה או סימן ד' המוצע, וזאת אם מצא כי הדבר נדרש )2(–) ו1()(ב7 לשם מילוי תפקידי השירות כאמור בסעיף חוק- (להלן2002-לחוק שירות הביטחון הכללי, התשס"ב שירות הביטחון הכללי). )לסעיף קטן (ג )מוצע כי קביעה שניתנה לפי סעיפים קטנים (א ו–(ב) לסעיף מוצע זה, תיחשב לקביעה של מנהל בכיר (א) לחוק המוצע, ויחולו הוראות16 במערך לפי סעיף (א) ו–(ג) לחוק המוצע, בשינויים המחויבים, בלא16 סעיף (ב) לחוק המוצע. ואולם16 צורך בתהליך הקבוע בסעיף אם הייתה הקביעה האמורה בעניין תקיפת סייבר חמורה נגד ארגון חיוני למערכת הביטחון או באמצעותו, יראו )(א14 אותה כקביעה של מנהל בכיר במלמ"ב לפי סעיף לחוק המוצע, כלומר, הסמכות לתת הוראות תהיה מוקנית ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1362 סימן ד': הוראות מיוחדות לעניין ארגון חיוני למערכת הביטחון - 'סימן ד' בפרק ה הגדרות .19- בסימן זה ; הממונה על הביטחון במערכת הביטחון- ""מלמ"ב צה"ל, משרד הביטחון, מלמ"ב ומפעלי מערכת הביטחון כמשמעותם- ""מערכת הביטחון לחוק להסדרת הביטחון בגופים ציבוריים.20 בסעיף קביעת ארגון חיוני למערכת הביטחון .20 שר הביטחון, לפי המלצת ראש מלמ"ב, רשאי לקבוע שארגון הוא ארגון חיוני (א) למערכת הביטחון, אם מצא, לאחר שניתנה לארגון הזדמנות להשמיע את עמדתו, כי :מתקיימים כל אלה ;הוא אינו גוף מונחה )1( :מתקיים לגביו אחד מאלה )2( קיימת התקשרות בתוקף בין הארגון לבין גוף הנמנה עם מערכת (א) הביטחון, שמכוחה הארגון מספק למערכת הביטחון מוצרים, שירותים, ידע או טכנולוגיות שהם חיוניים לפעילות ביטחונית או מבצעית של גוף הנמנה עם מערכת הביטחון, ושפגיעה בזמינותם או תפקודם בשל תקיפת סייבר עלולה לגרום לפגיעה משמעותית בביטחון המדינה או ברציפות התפקוד ;של גוף הנמנה עם מערכת הביטחון ,הייתה התקשרות בין הארגון לבין גוף הנמנה עם מערכת הביטחון (ב) שטרם חלפו חמש שנים ממועד סיומה, ומכוחה הארגון מחזיק מידע על מוצרים, שירותים, ידע או טכנולוגיות כאמור בפסקת משנה (א), שמתקיים לגביהם האמור בסיפה של אותה פסקת משנה. למלמ"ב. כפי שיפורט להלן, הסמכות לקבוע כאמור ביחס לארגונים חיוניים למערכת הביטחון נתונה לראש מלמ"ב ) לחוק המוצע.2()(א21 מכוח סעיף סימן ד': הוראות מיוחדות לעניין ארגון חיוני למערכת הביטחון בסעיף זה מוצעות הגדרות למונחים שנעשה19 סעיף בהם שימוש בסימן מוצע זה. במסגרת זו, מוצע להגדיר את "מערכת הביטחון", ככוללת את צה"ל, משרד הביטחון, מלמ"ב ומפעלי מערכת הביטחון כמשמעותם לחוק להסדרת הביטחון.20 בסעיף בשל צרכים ייחודיים של הגנת סייבר הקיימים20 סעיף לעיתים בחלק מהארגונים שיש להם, או שהייתה ותוספת ,להם, התקשרות עם גופים במערכת הביטחון חמישית מוצע לקבוע תהליך סדור להגדרת ארגון כארגון חיוני למערכת הביטחון לפי החוק המוצע, בהתחשב ,בתבחינים ובגדרים המוצעים לעניין זה. על פי המוצע הרשות המוסמכת לגבי ארגונים אלה לעניין חוק זה תהיה מלמ"ב. )לסעיף קטן (א מוצע לקבוע כי הסמכות לקבוע שארגון הוא ארגון חיוני למערכת הביטחון תהיה נתונה לשר הביטחון, לפי המלצת ראש מלמ"ב, והוא יקבע כאמור אם מצא, לאחר שניתנה לארגון הזדמנות להשמיע את עמדתו, כי הארגון ,אינו גוף מונחה וכן מתקיימים לגביו אחד משני תנאים כמפורט להלן. )(א), הוא שקיימת2( התנאי הראשון, המנוי בפסקה התקשרות בתוקף בין הארגון לבין גוף הנמנה עם מערכת הביטחון, שמכוחה הארגון מספק למערכת הביטחון מוצרים, שירותים, ידע או טכנולוגיות שהם חיוניים לפעילות ביטחונית או מבצעית של הגוף האמור, ושפגיעה בזמינותם או תפקודם בשל תקיפת סייבר עלולה לגרום לפגיעה משמעותית בביטחון המדינה או ברציפות התפקוד של גוף הנמנה עם מערכת הביטחון. )(ב), הוא שהייתה בעבר2( התנאי השני, המנוי בפסקה ,התקשרות בין הארגון לבין גוף הנמנה עם מערכת הביטחון שטרם חלפו חמש שנים ממועד סיומה, ומכוחה הארגון מחזיק מידע על מוצרים, שירותים, ידע או טכנולוגיות )(א), שמתקיים לגביהם האמור בסיפה2( כאמור בפסקה של אותה פסקת משנה. )לסעיף קטן (ב מוצע לקבוע ששר הביטחון יוכל לקבוע שארגון ממגזר המנוי בתוספת הראשונה לחוק המוצע, הוא ארגון חיוני למערכת הביטחון, רק אם ניתנה לכך הסכמת הגורם המאסדר - של המגזר שבו פועל הארגון, ואם מדובר בארגון חיוני ד ב ר י ה ס ב ר 1363 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו שר הביטחון רשאי לקבוע כאמור בסעיף קטן (א) לגבי ארגון ממגזר המנוי (ב) , אם ניתנה לכך הסכמת הגורם המאסדר של1 ) להגדרה "מגזר" שבסעיף1( בפסקה גם אם מצא כי אין- המגזר שבו פועל הארגון, ולעניין ארגון כאמור שהוא ארגון חיוני )(א) סיפה2()די בהגדרתו כארגון חיוני לצורך מתן מענה לסיכון האמור בסעיף קטן (א ימים, יראו30 או (ב) סיפה; לא השיב הגורם המאסדר לפניית שר הביטחון בעניין בתוך אותו כמי שהסכים לקביעת הארגון כארגון חיוני למערכת הביטחון. המלצת ראש מלמ"ב כאמור בסעיף קטן (א) תינתן לאחר התייעצות עם ראש המטה (ג) הכללי של צה"ל ולאחר שקיבל את הסכמת ראש מערך הסייבר הלאומי; לא נתן ראש מערך הסייבר הלאומי את הסכמתו להמלצה, רשאי ראש מלמ"ב להביא את העניין לדיון לפני שר הביטחון וראש הממשלה שיכריעו במחלוקת. קבע שר הביטחון לפי סעיף זה כי ארגון הוא ארגון חיוני למערכת הביטחון, יודיע (ד) על כך מלמ"ב לארגון, למערך הסייבר הלאומי, לצה"ל, ולעניין ארגון כאמור בסעיף קטן ; ימים ממועד הקביעה14 גם לגורם המאסדר של המגזר שבו פועל הארגון, בתוך- )(ב קביעת שר הביטחון תיכנס לתוקף במועד מסירת ההודעה על הקביעה לארגון, ותעמוד בתוקף עד המועד שלהלן לפי העניין, אלא אם כן קבע שר הביטחון קודם לכן, ביוזמתו :או לפי בקשה מאת הארגון, שאותו ארגון לא ייחשב עוד לארגון חיוני למערכת הביטחון מועד סיום- ))(א2()לעניין ארגון שמתקיים לגביו האמור בסעיף קטן (א )1( ;ההתקשרות של הארגון עם הגוף הנמנה עם מערכת הביטחון 5 שנים תום- ))(ב2()לעניין ארגון שמתקיים לגביו האמור בסעיף קטן (א )2( ממועד סיום ההתקשרות של הארגון עם הגוף הנמנה עם מערכת הביטחון. קבע שר הביטחון שארגון שנקבע כארגון חיוני למערכת הביטחון לפי סעיף זה לא (ה) ,ייחשב עוד לארגון כאמור, יודיע על כך מלמ"ב לגורמים האמורים בסעיף קטן (ד) רישה במועד האמור בו, וקביעתו תיכנס לתוקף במועד מסירת ההודעה כאמור לארגון. רק אם מצא שאין די בהגדרתו כארגון חיוני לצורך מענה לסיכון המתואר לעיל לפגיעה משמעותית בביטחון המדינה או ברציפות התפקוד של גוף הנמנה עם מערכת הביטחון. במקביל, מוצע לקבוע שאם הגורם המאסדר לא השיב לפניית ימים, יראו אותו כמי שהסכים30 שר הביטחון בעניין בתוך לקביעת הארגון כארגון חיוני למערכת הביטחון. )לסעיף קטן (ג כדי להבטיח שהגדרת ארגון כארגון חיוני למערכת הביטחון תתבצע לאחר בחינת שיקולים רוחביים, מוצע ,לקבוע שהמלצת ראש מלמ"ב לפי סעיף קטן (א) המוצע תינתן לאחר שקיים התייעצות עם ראש המטה הכללי של צה"ל ולאחר שקיבל את הסכמת ראש מערך הסייבר הלאומי. כמו כן מוצע לקבוע כי אם ראש מערך הסייבר הלאומי לא הסכים לקביעת שר הביטחון, יוכל ראש מלמ"ב להביא את הסוגיה לדיון לפני שר הביטחון וראש הממשלה שיכריעו במחלוקת. )לסעיף קטן (ד מוצע לקבוע כי אם קבע שר הביטחון לפי סעיף מוצע זה, שארגון הוא ארגון חיוני למערכת הביטחון, הוא יודיע על כך למלמ"ב, לארגון, למערך הסייבר הלאומי, לצה"ל ימים14 ולגורם המאסדר הנוגע לעניין, אם ישנו, בתוך ממועד הקביעה. כמו כן, מוצע לקבוע כי קביעת שר הביטחון תיכנס לתוקף במועד מסירת ההודעה על הקביעה לארגון, ותעמוד בתוקף עד המועד שלהלן לפי העניין, אלא אם כן קבע שר הביטחון קודם לכן, ביוזמתו או לפי בקשת הארגון, שאותו :ארגון לא ייחשב עוד לארגון חיוני למערכת הביטחון .  לעניין ארגון שקיימת התקשרות בתוקף בינו לבין גוף1 ))(א2()הנמנה עם מערכת הביטחון, כאמור בסעיף קטן (א עד מועד סיום ההתקשרות.- המוצע .  לעניין ארגון שהייתה בעבר התקשרות בינו לבין גוף2 ))(ב2()הנמנה עם מערכת הביטחון כאמור בסעיף קטן (א 5 שנים ממועד סיום ההתקשרות. עד תום- המוצע )לסעיף קטן (ה על פי המוצע, אם קבע שר הביטחון שארגון שנקבע כארגון חיוני למערכת הביטחון לא ייחשב עוד לארגון כאמור, מלמ"ב יידרש להודיע על כך לארגון, למערך הסייבר ,הלאומי, לצה"ל ולגורם מאסדר נדרש לפי סעיף מוצע זה אם ישנו, וקביעתו תיכנס לתוקף במועד מסירת ההודעה לארגון. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1364 קבע שר הביטחון לפי סעיף זה שארגון הוא ארגון חיוני למערכת הביטחון, לא (ו) , כל עוד קביעת שר8 יראו ארגון כאמור לעניין חוק זה כארגון חיוני כמשמעותו בסעיף הביטחון עומדת בתוקף. מספר הארגונים שייקבעו כארגון חיוני למערכת הביטחון לפי סעיף זה לא יעלה (ז) ,על המספר הקבוע בתוספת החמישית; שר הביטחון, בהסכמת ראש הממשלה, רשאי בצו, על פי המלצה משותפת של ראש מערך הסייבר הלאומי וראש מלמ"ב, לתקן את התוספת החמישית. רשימת הארגונים החיוניים למערכת הביטחון שנקבעו לפי סעיף זה לא תפורסם (ח) לציבור. תחולת הוראות מהחוק לעניין ארגון חיוני למערכת הביטחון .21 , יחולו לגביו הוראות פרק20 נקבע ארגון כארגון חיוני למערכת הביטחון לפי סעיף (א) ,51 ו־46 , וכן יחולו הוראות פרק ו' וסעיפים16 זה החלות לעניין ארגון חיוני למעט סעיף :והכול בשינויים המחויבים, ובשינויים אלה ;סמכות הנתונה לגורם מאסדר תהיה נתונה לשר הביטחון )1( סמכות הנתונה למנהל הרשות המוסמכת, למנהל בכיר ברשות מוסמכת )2( ולעובד מוסמך מגזרי, תהיה נתונה לראש מלמ"ב, למנהל בכיר במלמ"ב ולעובד ;מוסמך במלמ"ב, בהתאמה ;"(ב), במקום "עובדי הרשות" יקראו "עובדי מלמ"ב6 בסעיף )3( :) יקראו1( , במקום פסקה7 בסעיף )4( )  הוא לא הורשע בעבירה שמפאת מהותה, חומרתה או נסיבותיה אין1(" הוא ראוי, לדעת ראש מלמ"ב או מי שהוא הסמיכו לכך, לשמש עובד מוסמך במלמ"ב, לא הוגש נגדו כתב אישום בעבירה כאמור ולא מתנהלת לגביו ;";חקירה בשל חשד לביצוע עבירה כאמור )לסעיף קטן (ו מוצע לקבוע שארגון שנקבע שהוא ארגון חיוני למערכת הביטחון, לא ייחשב לארגון חיוני כמשמעותו לחוק המוצע, כל עוד קביעה זו עומדת בתוקפה.8 בסעיף )לסעיף קטן (ז במקביל לעיגון שיטת קביעת הארגונים החיוניים למערכת הביטחון לפי ההסדר המוצע לעיל, ובהתאם לתפיסה שבבסיס החוק המוצע והרצון לשמר את המודל המבוזר, כמו גם בהתאם לעמדות המקצועיות באשר להיקף הארגונים המרבי הנדרש בהקשר זה, מוצע לקבוע כי מספר הארגונים שיהיה ניתן לקבוע כארגונים חיוניים למערכת הביטחון לפי החוק לא יעלה על המספר הקבוע בתוספת החמישית, לצד מתן סמכות לשר הביטחון, בהסכמת ראש הממשלה, לשנות את התוספת בצו, על פי המלצה ,משותפת של ראש מערך הסייבר הלאומי וראש מלמ"ב אם ימצאו כי הדבר נדרש. )לסעיף קטן (ח מוצע לקבוע שרשימת הארגונים החיוניים למערכת הביטחון לא תפורסם לציבור. ) לסעיף קטן (א21 סעיף בהמשך להסדר המוצע לעניין קביעת ארגון כארגון חיוני למערכת הביטחון, מוצע לקבוע שאם נקבע ארגון כחיוני למערכת הביטחון, יחולו לגביו הוראות פרק ,מוצע זה החלות לעניין ארגון חיוני, בשינויים המחויבים לחוק המוצע, שעניינו סמכות מתן ההוראות16 למעט סעיף של מערך הסייבר הלאומי (באמצעות מנהל בכיר במערך ועובד מוסמך במערך) בתקיפת סייבר חמורה, וכן יחולו הוראות פרק ו' לחוק המוצע, אשר מקנה לעובדים מוסמכים מגזריים סמכויות לפיקוח על ביצוע ההוראות לפי החוק 5 לחוק המוצע, שעניינן1– ו46 המוצע, והוראות סעיפים בשמירת סודיות ובהסתייעות במומחה חיצוני, והכול בשינויים המחויבים ובשינויים המנויים בסעיף קטן (א). כך, על פי המוצע, סמכות הנתונה באותן הוראות לגורם מאסדר תהיה נתונה לשר הביטחון, וסמכות הנתונה בהן למנהל הרשות המוסמכת, למנהל בכיר ברשות מוסמכת או לעובד מוסמך מגזרי, תהיה נתונה לראש מלמ"ב, למנהל ,בכיר במלמ"ב ולעובד מוסמך במלמ"ב, בהתאמה. כמו כן לחוק המוצע6 עובדים מוסמכים במלמ"ב יוסמכו, לפי סעיף כפי שהוחל כאמור, מקרב עובדי מלמ"ב, ובדיקת העבר ד ב ר י ה ס ב ר 1365הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ), במקום הסיפה החל במילים "בתקן אחד" יקראו "במסמך1()9(ב בסעיף 5) ( תאימות "רב מגן", העומד לעיון הארגונים החיוניים למערכת הביטחון במשרדי ;"מלמ"ב, בהתאמות המתחייבות הסמכות הנתונה לראש מערך הסייבר הלאומי ולמנהל בכיר במערך לפי סעיף )6( ,, תהיה נתונה גם לראש מלמ"ב ולמנהל בכיר במלמ"ב, בהתאמה; מצא ראש מלמ"ב11 (א) כפי שהוחל כאמור, כי מתקיים סיכון סייבר שיש בו כדי לאפשר תקיפת11 לפי סעיף נגד ארגונים שונים שהם ארגונים חיוניים למערכת13 סייבר חמורה כהגדרתה בסעיף הביטחון, או באמצעותם, אם לא יינקטו בדחיפות אמצעים להתמודדות עימו, רשאי הוא, באישור שר הביטחון, להורות בכתב לארגון חיוני למערכת הביטחון שביחס אליו עלול להתממש הסיכון, לנקוט אמצעים כאמור במועד שעליו יורה, ויחולו הוראות :(ב), (ד) ו–(ה), בשינויים המחויבים ובשינויים אלה11 סעיף ;"בסעיף קטן (ב), במקום "הרשות המוסמכת הנוגעת לעניין" יקראו "המערך (א) ), במקום "ברשות המוסמכת" יקראו "במערך" ובמקום3()בסעיף קטן (ד (ב) "לרשות המוסמכת" יקראו "למערך". 9(ב) ו–(ג), כפי שהוחלו בסעיף קטן (א), יחולו לגבי ארגון חיוני ההוראות לפי סעיף (ב) חודשים ממועד הכניסה לתוקף של קביעתו כארגון6 למערכת הביטחון החל מתום (ה).20 כאמור, כאמור בסעיף - בסעיף זה (ג) ; ראש יחידת הסייבר במלמ"ב- ""מנהל בכיר במלמ"ב (ב) כפי6 עובד המלמ"ב שראש המלמ"ב הסמיכו לפי סעיף- ""עובד מוסמך במלמ"ב ).3()שהוחל בסעיף קטן (א הפלילי הנדרשת לשם הסמכה כעובד מוסמך במלמ"ב, לפי לחוק המוצע כפי שהוחל כאמור, תהיה בסמכות7 סעיף ראש מלמ"ב. כדי לעמוד ברמת הגנת הסייבר הנדרשת מארגונים ,) לחוק המוצע, כפי שהוחל כאמור1()9(ב חיוניים לפי סעיף יידרש ארגון חיוני למערכת הביטחון לעמוד בדרישות ,המפורטות בחלק א' לתוספת הרביעית לחוק המוצע באמצעות יישום ההוראות הנוגעות לאותן דרישות ב"מסמך תאימות רב מגן", שיועמד לעיון הארגונים החיוניים למערכת הביטחון במשרדי מלמ"ב, ולא באחד מהתקנים המנויים בחלק ב' לתוספת הרביעית. הסמכות הנתונה לראש המערך ולמנהל בכיר במערך לחוק המוצע, קרי הסמכות לתת הוראות11 לפי סעיף דחופות למניעת סיכון סייבר משמעותי בארגון חיוני ולפעול בהקשר זה, תהיה נתונה גם לראש מלמ"ב ולמנהל בכיר במלמ"ב בהתאמה. ומוצע לקבוע כי אם מצא ראש מלמ"ב (א) לחוק המוצע, כפי שהוחל כאמור, כי מתקיים11 לפי סעיף סיכון סייבר שיש בו כדי לאפשר תקיפת סייבר חמורה לחוק המוצע נגד ארגונים שונים שהם13 כהגדרתה בסעיף ארגונים חיוניים למערכת הביטחון או באמצעותם, אם לא יינקטו בדחיפות אמצעים להתמודדות עימו, הוא יהיה מוסמך, באישור שר הביטחון, להורות בכתב לארגון חיוני ,למערכת הביטחון שביחס אליו עלול להתממש הסיכון לנקוט אמצעים כאמור במועד שעליו יורה, ויחולו הוראות (ב), (ד) ו–(ה) לחוק המוצע, בשינויים המחויבים11 סעיף ), ועיקרם שההתייעצות4( ובשינויים המנויים בפסקה (ב) האמור, תהיה עם11 לפני מתן ההוראה, כאמור בסעיף המערך (ולא עם הרשות המוסמכת) וההתייעצות לפני מתן ,) לחוק המוצע3()(ד11 ההחלטה בהשגה, כאמור בסעיף תהיה עם מנהל בכיר במערך. )לסעיף קטן (ב ,9(ב) ו–(ג) לחוק המוצע מוצע כי ההוראות לפי סעיף כפי שהוחלו בסעיף קטן (א) לסעיף המוצע, יחולו לגבי חודשים ממועד6 ארגון חיוני למערכת הביטחון החל מתום הכניסה לתוקף של קביעתו כארגון כאמור, כאמור בסעיף (ה) לחוק המוצע, וזאת כדי לאפשר לארגונים תקופת20 היערכות בנסיבות העניין. ,מובהר כי בהתאם למוצע לא יחולו שינויים נוספים ובכלל האמור תחול חובת הדיווח על תקיפה משמעותית גם למערך הסייבר הלאומי, כמו גם חובת התייעצות עם המערך בהתאם לסעיפי החוק השונים. עוד מובהר, למען הסר ספק, כי על פי המוצע לא יחולו לעניין מלמ"ב הוראות 5 לחוק המוצע, ובהתאם לכך, לא תוקם במלמ"ב סעיף יחידה מגזרית. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1366 סימן ה': הוראות מיוחדות לעניין משרדי ממשלה מסוימים הוראות מיוחדות לעניין משרד ראש הממשלה ומשרד החוץ .22 , יחולו לעניין משרד ראש16 הוראות פרק זה החלות לעניין ארגון חיוני, למעט סעיף (א) הממשלה ומשרד החוץ, למעט יחידות הסמך שלהם, וכן יחולו הוראות פרק ו' וסעיפים :5, והכול בשינויים המחויבים ובשינויים אלה1 ו־46 ;סמכות הנתונה לגורם מאסדר תהיה נתונה לראש הממשלה )1( ,סמכות הנתונה למנהל הרשות המוסמכת, למנהל בכיר ברשות מוסמכת )2( ולעובד מוסמך מגזרי, תהיה נתונה לראש השירות או למנהל בכיר בשירות, לעובד ,השירות בדרגת ראש מחלקה שראש השירות הסמיכו לכך, ולעובד מוסמך בשירות ;בהתאמה ;"(ב), במקום "עובדי הרשות" יקראו "עובדי שירות הביטחון הכללי6 בסעיף )3( לא תיקרא.- )1( , פסקה7 בסעיף )4( עובד שירות הביטחון הכללי שראש השירות- "בסעיף זה, "עובד מוסמך בשירות (ב) ).2()(ב) כפי שהוחל בסעיף קטן (א6 או מנהל בכיר בשירות הסמיכו לפי סעיף פרק ו': סמכויות פיקוח דרישת ידיעות ומסמכים .23 לשם פיקוח על ביצוע ההוראות לפי חוק זה, רשאי עובד מוסמך מגזרי לדרוש מכל אדם הנוגע בדבר למסור או להציג לו כל ידיעה או מסמך, לרבות עותק מחומר מחשב, שיש בהם כדי להבטיח את ביצוען של ההוראות לפי חוק זה. סימן ה': הוראות מיוחדות לעניין משרדי ממשלה מסוימים ) לסעיף קטן (א22 סעיף כאמור לעיל, מוצע לקבוע את משרדי הממשלה כארגונים חיוניים לפי החוק המוצע. במקביל, לנוכח רגישות המערכות והמידע של משרד החוץ ומשרד ראש הממשלה (בלא יחידות הסמך שלהם), המונחים כבר כיום בתחומי הגנת סייבר שונים בידי השירות, מוצע לקבוע שהרשות ,המוסמכת לגביהם לעניין החוק המוצע תהיה השירות ובהתאם יחולו הוראות פרק ה' המוצע החלות לעניין לחוק המוצע שעניינו סמכות16 ארגון חיוני, למעט סעיף ,מתן ההוראות של מערך הסייבר הלאומי בתקיפה חמורה 5 לחוק המוצע1– ו46 וכן יחולו הוראות פרק ו' וסעיפים לעניין שמירת סודיות, הגבלת שימוש ומחיקה והסתייעות במומחה חיצוני, והכול בשינויים המחויבים ובשינויים המפורטים בסעיף קטן (א) לסעיף המוצע. כך, על פי המוצע, סמכות הנתונה לגורם מאסדר לפי ;ההוראות הנזכרות לעיל תהיה נתונה לראש הממשלה סמכות הנתונה בהן למנהל הרשות המוסמכת, למנהל בכיר ברשות מוסמכת, ולעובד מוסמך מגזרי, תהיה נתונה לראש השירות או למנהל בכיר בשירות, לעובד השירות בדרגת ראש מחלקה בשירות שראש השירות הסמיכו לכך, ולעובד מוסמך בשירות, בהתאמה. כמו כן, עובדים מוסמכים בשירות יוסמכו, לפי סעיף , לחוק המוצע כפי שהוחל כאמור, מקרב עובדי השירות6 לחוק7 ) של סעיף1( ואולם קבלת אישור המשטרה (פסקה המוצע) לא תהיה תנאי להסמכה מאחר שהדבר אינו נדרש לגבי עובדי השירות. מובהר כי בהתאם למוצע, ההוראות הנזכרות לעיל יחולו לעניין משרד החוץ ומשרד ראש הממשלה בלי שינויים נוספים על אלה שנזכרו לעיל, כך שתחול 12 חובה לדווח על תקיפת סייבר משמעותית (לפי סעיף לחוק המוצע) גם למערך הסייבר הלאומי, כמו גם חובת התייעצות עם המערך בהתאם לסעיפי החוק השונים. עוד מובהר, למען הסר ספק, כי בהתאם למוצע לא תוקם בשירות הביטחון הכללי יחידה מגזרית. פרק ו': סמכויות פיקוח כפי שמקובל ביחס לסמכויות פיקוח במשפט 23 סעיף הישראלי, מוצע לקבוע כי לשם פיקוח על ביצוע ההוראות לפי החוק המוצע, רשאי עובד מוסמך מגזרי לדרוש מכל אדם הנוגע בדבר למסור או להציג לו כל ידיעה או מסמך, לרבות עותק מחומר מחשב, שיש בהם כדי להבטיח את ביצוען של ההוראות לפי החוק המוצע. זאת לרבות לשם פיקוח על עמידת ארגון חיוני במגזר ברמת ההגנה הנדרשת 9 לחוק המוצע, לשם פיקוח על עמידת ארגון חיוני לפי סעיף בחובת הדיווח על תקיפות סייבר משמעותית נגד ארגון לחוק המוצע, או לשם בחינה אם ארגון12 חיוני לפי סעיף המוצע. מעבר8 הוא ארגון חיוני באותו המגזר לפי סעיף לכך, יצוין כי סמכות זו, ככל סמכות, תופעל בהתאם לכללי המשפט המינהלי באופן המידתי הנדרש. ד ב ר י ה ס ב ר 1367 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו כניסה למקום .24 , רשאי עובד מוסמך מגזרי129(ב) עד (ה) ו־ לשם פיקוח על ביצוע ההוראות לפי סעיפים להיכנס למקום, ובלבד שלא ייכנס למקום המשמש למגורים, אלא על פי צו של בית משפט. זיהוי עובד מוסמך מגזרי .25 עובד מוסמך מגזרי לא יעשה שימוש בסמכויות הנתונות לו לפי פרק זה, אלא (א) ,בעת מילוי תפקידו, ובלבד שיש בידו תעודה החתומה בידי מנהל הרשות המוסמכת המעידה על תפקידו ועל סמכויותיו של עובד מוסמך מגזרי, שאותה יציג על פי דרישה. :חובת ההזדהות לפי סעיף קטן (ב) לא תחול אם קיומה עלול לגרום לאחד מאלה (ב) ;סיכול ביצוע הסמכות בידי העובד המוסמך המגזרי )1( פגיעה בביטחון העובד המוסמך המגזרי או בביטחון אדם אחר. )2( חלפה הנסיבה שבשלה לא קיים עובד מוסמך מגזרי את חובת ההזדהות, כאמור (ג) בסעיף קטן (ב), יקיים העובד המוסמך את חובתו כאמור, מוקדם ככל האפשר. פרק ז': אמצעי אכיפה מינהליים סימן א': הגדרות הגדרות- 'פרק ז .26 - בפרק זה : אחד מאלה- ""ארגון חיוני ) שאינו ארגון הנמנה עם מגזר המנוי בפרט3( ) או2()(א8 ארגון כאמור בסעיף )1( ; לתוספת הראשונה7 ;ארגון חיוני למערכת הביטחון )2( מוצע לקבוע כי לשם פיקוח על ביצוע ההוראות 24 סעיף לחוק המוצע, רשאי12–9(ב) עד (ה) ו לפי סעיפים עובד מוסמך מגזרי להיכנס למקום, ובלבד שלא ייכנס למקום ,המשמש למגורים אלא על פי צו של בית משפט. כמו כן יודגש, כי סמכות הכניסה למקום של העובד המוסמך המגזרי אינה כוללת סמכות לבצע פעולות בחומר מחשב. ) לסעיף קטן (א25 סעיף כדי להבטיח שימוש מידתי בסמכות, מוצע לקבוע שעובד מוסמך מגזרי לא יעשה שימוש בסמכויות הנתונות לו לפי סימן מוצע זה, אלא בעת מילוי תפקידו ובלבד שיש בידו תעודה החתומה בידי מנהל הרשות המוסמכת המעידה על תפקידו וסמכויותיו של העובד המוסמך המגזרי, שאותה יציג לפי דרישה. )לסעיף קטן (ב על אף האמור בסעיף קטן (א) המוצע, מוצע לקבוע שחובת ההזדהות האמורה לא תחול אם קיומה עלול לגרום לסיכול הכניסה למקום על ידי העובד המוסמך המגזרי או אם קיומה עלול לפגוע בביטחון העובד המוסמך המגזרי או בביטחון אדם אחר. )לסעיף קטן (ג מוצע לקבוע שעם חלוף הנסיבה האמורה בסעיף קטן (ב) המוצע, שבשלה לא קיים העובד המוסמך המגזרי את חובת ההזדהות, יזדהה העובד המוסמך בהתאם למפורט בסעיף, מוקדם ככל האפשר. פרק ז': אמצעי אכיפה מינהליים סימן א': הגדרות הפרת הוראות החוק על ידי ארגונים חיוניים, ארגונים חיוניים למערכת הביטחון וספקי שירותים דיגיטליים ושירותי אחסון עלולה להביא לפגיעה באינטרסים ציבוריים, דוגמת ביטחון המדינה, ביטחון הציבור ולפגיעה חמורה ברציפות אספקת שירותים חיוניים לציבור. לכן מוצע, בפרק מוצע זה, לקבוע את סמכות הרשויות המוסמכות להטיל עיצומים כלפי ארגון בעקבות הפרה של חובות מרכזיות בחוק. יובהר כי תכליתה של הסנקציה המינהלית היא הרתעתית־מניעתית. כמו כן היא מניחה כי ביצוע הפרות של עבירות הסדר נעשה לעיתים מתוך שיקולים תועלתניים של המפר, שסבור, למשל, שאי־קיום ההוראה עשוי לחסוך לו הוצאות. מסיבה זו, גובה הסכום של העיצום הכספי נועד למנוע את התמריץ הכלכלי להפר את החוק, קרי לנטרל את קיומה של "ההפרה היעילה". עם זאת, גובה הסכום של העיצום הכספי צריך להיות מידתי ולא לסכן את המשך פעילותו הכלכלית של המפר. מוצע כי "ארגון חיוני" יוגדר לעניין פרק זה26 סעיף )(א8 כארגון חיוני כמשמעותו לפי הוראות סעיף ) לחוק המוצע, למעט רשויות מקומיות, או כארגון3( ) או2( חיוני למערכת הביטחון. יודגש כי בפרק זה הגדרת "ארגון )1()(א8 חיוני" לא כוללת גופים ממשלתיים כאמור בסעיף לאותו חוק.22 לחוק המוצע או כאמור בסעיף ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1368 : אחד מאלה, לפי העניין- ""הממונה עובד בכיר ברשות- ") להגדרה "ארגון חיוני1( לעניין ארגון חיוני כאמור בפסקה )1( , שדרגתו ראש אגף1 ) להגדרה "הרשות המוסמכת" בסעיף1( מוסמכת כאמור בפסקה ;לפחות, שמנהל הרשות המוסמכת הסמיכו להטיל עיצום כספי לפי פרק זה מנהל בכיר- ") להגדרה "ארגון חיוני2( לעניין ארגון חיוני כאמור בפסקה )2( (ג).21 במלמ"ב כהגדרתו בסעיף סימן ב': עיצום כספי עיצום כספי .27 ,ארגון חיוני שלא קיים דרישה מהדרישות המפורטות בחלק א' לתוספת הרביעית (א) המנויה בטור א' בחלק א' לתוספת השישית, באמצעות יישום ההוראות הנוגעות לאותה דרישה בתקן שבחר מהתקנים המנויים בחלק ב' לתוספת הרביעית, בניגוד להוראות בניגוד- ") להגדרה "ארגון חיוני2( ), ולעניין ארגון חיוני כאמור בפסקה1()9(ב סעיף 5), רשאי הממונה להטיל עליו עיצום כספי לפי()(א21 לאותן הוראות כפי שהוחלו בסעיף הוראות פרק זה, בסכום הקבוע בטור ב' בחלק א' לתוספת השישית לצד אותה דרישה. ארגון חיוני שלא קיים דרישה שהגורם המאסדר האמון על אסדרת תחום הגנת (ב) '9(ג), המנויה בטור א' בחלק ב הסייבר במגזר שבו הוא פועל, קבע בתקנות לפי סעיף לתוספת השישית לעניין אותו מגזר, רשאי הממונה להטיל עליו עיצום כספי לפי הוראות פרק זה, בסכום הקבוע בטור ב' בחלק ב' לתוספת השישית לצד אותה דרישה. הפר ארגון חיוני הוראה מההוראות לפי חוק זה, כמפורט להלן, רשאי הממונה (ג) : שקלים חדשים640,000 להטיל עליו עיצום כספי בסכום של ;11 לא מילא הוראה שנתן לו ראש מערך הסייבר הלאומי לפי סעיף )1( כמו כן, מוצע להגדיר את "הממונה", כעובד בכיר ברשות מוסמכת הרלוונטית אשר דרגתו ראש אגף לפחות ושהוסמך על ידי מנהל הרשות המוסמכת להטיל עיצומים מנהל- לפי פרק זה, ולעניין ארגון חיוני למערכת הביטחון (ג) לחוק המוצע. יובהר21 בכיר במלמ"ב כהגדרתו בסעיף כי ניתן שהממונה יהיה אותו גורם שכבר מוסמך להטיל עיצומים ברשות המוסמכת מכוח דינים אחרים, אם יש כזה. סימן ב': עיצום כספי ) ותוספת שישית לסעיף קטן (א27 סעיף מוצע להסמיך את הממונה להטיל עיצום כספי על ארגון חיוני כהגדרתו בפרק מוצע זה, אם לא קיים דרישה מהדרישות המנויות בחלק א' לתוספת הרביעית המוצעת ואשר מנויה בטור א' בחלק א' לתוספת השישית המוצעת, באמצעות יישום ההוראות הנוגעות לאותה דרישה בתקן שבחר מהתקנים המנויים בחלק ב' לתוספת ), ולעניין1()9(ב הרביעית המוצעת, בניגוד להוראות סעיף בניגוד לאותן הוראות- ארגון חיוני למערכת הביטחון 5), שלפיהן התקן שלפיו תיבחן()(א21 כפי שהוחלו בסעיף העמידה בדרישות הוא מסמך תאימות "רב מגן". ביחס לכל דרישה שהופרה כאמור, מוצע כי יהיה ניתן להטיל עיצום כספי בסכום הקבוע בטור ב' בחלק א' לתוספת השישית המוצעת לצד אותה דרישה. )לסעיף קטן (ב כמו כן מוצע להסמיך את הממונה להטיל עיצום כספי על ארגון חיוני שלא קיים דרישה שהגורם המאסדר '9(ג) לחוק המוצע, המנויה בטור א קבע בתקנות לפי סעיף בחלק ב' לתוספת השישית המוצעת לעניין המגזר שהוא אמון בו על אסדרת תחום הגנת הסייבר, בסכום הקבוע בטור ב' בחלק ב' לתוספת השישית המוצעת לצד אותה דרישה, זאת אם תתווסף דרישה כזו לתוספת האמורה לפי לחוק המוצע.45 סעיף )לסעיף קטן (ג מוצע להסמיך את הממונה להטיל על ארגון חיוני שקלים חדשים בגין הפרת הוראה שנתן640,000 עיצום בסך לחוק המוצע, או11 ראש מערך הסייבר הלאומי לפי סעיף בשל הפרת חובת הדיווח על תקיפת סייבר משמעותית לחוק המוצע, ובכלל12 שחלה על ארגון חיוני לפי סעיף זה בשל כך שהארגון לא כלל בדיווח האמור את העניינים המפורטים באותו סעיף מוצע. כמו כן, מוצע להסמיך את הממונה להטיל עיצום באותו סכום בשל הפרת החובה למסור לעובד מוסמך מגזרי, מידע או מסמך שהיה על 9(ה) או הארגון החיוני לשמור בהתאם להוראות סעיפים ,(ה) לחוק המוצע, לפי דרישה שנמסרה לארגון בכתב11 במועד או באופן שנקבעו בדרישה, וזאת בניגוד להוראות לחוק המוצע.23 לפי סעיף ד ב ר י ה ס ב ר 1369הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו , או דיווח על תקיפה12 לא דיווח על תקיפת סייבר משמעותית כאמור בסעיף )2( ;)(ב12 כאמור שלא בהתאם להוראות סעיף לא מסר לעובד מוסמך מגזרי, מידע או מסמך שהיה עליו לשמור בהתאם )3( (ה), לפי דרישה שנמסרה לו בכתב, במועד או באופן11 9(ה) או להוראות סעיפים .23 שנקבעו בדרישה, בניגוד להוראות לפי סעיף ,) ארגון- ארגון חיוני או ספק שירותים דיגיטליים ושירותי אחסון (להלן בפרק זה (ד) שלא מילא הוראה לביצוע פעולות להגנת סייבר בחומר מחשב או הוראה למסירת , רשאי הממונה להטיל16 ) או4()(ג14 ידיעה או מסמך, שניתנה לו בכתב, לפי סעיפים שקלים חדשים.640,000 עליו עיצום כספי בסכום של לא יטיל הממונה ברשות מוסמכת עיצום כספי לפי חוק זה, בשל מעשה המהווה (ה) הפרה לפי חוק אחר, שיש לרשות המוסמכת סמכות להטיל בשלו עיצום כספי. הודעה על כוונת חיוב .28 היה לממונה יסוד סביר להניח כי ארגון הפר הוראה מההוראות לפי חוק זה, כאמור (א) המפר), ובכוונתו להטיל עליו עיצום כספי לפי אותו סעיף, ימסור- (בפרק זה27 בסעיף הודעה על כוונת חיוב).- לו הודעה על הכוונה להטיל עליו עיצום כספי (בפרק זה :בהודעה על כוונת חיוב יציין הממונה, בין השאר, את אלה (ב) ; המעשה) המהווה את ההפרה ומועד ביצוע ההפרה- המעשה או המחדל (בפרק זה )1( ;סכום העיצום הכספי והתקופה לתשלומו )2( , וכי29 זכותו של המפר לטעון את טענותיו לפני הממונה לפי הוראות סעיף )3( יראו את ההודעה על כוונת חיוב כדרישת תשלום אם המפר לא יממש את הזכות ;)(ד30 האמורה, כאמור בסעיף הסמכות להוסיף על סכום העיצום הכספי בשל הפרה נמשכת או הפרה )4( , ושיעור התוספת.27 חוזרת לפי הוראות סעיף )לסעיף קטן (ד מוצע להסמיך את הממונה להטיל עיצום כספי בסך שקלים חדשים על ארגון חיוני כהגדרתו בפרק640,000 מוצע זה או על ספק שירותים דיגיטליים ושירותי אחסון גם אם אינו ארגון חיוני כאמור, בגין אי־מילוי הוראה לביצוע פעולה להגנת סייבר בחומר מחשב או הוראה למסירת )4()(ג14 ידיעה או מסמך, שניתנה לו בכתב לפי סעיפים לחוק המוצע. מוצע שעיצום בגין הפרת הוראה16 או כאמור יוכל להיות מוטל על כל ארגון במגזר השירותים הדיגיטליים ושירותי האחסון ולא רק על ארגונים חיוניים במגזר זה, מאחר שהסמכות למתן הוראות להתמודדות עם תקיפות סייבר חמורות חלה כלפי כלל הארגונים במגזר האמור בשל מאפייניו הייחודיים, בדגש על החיבוריות הגבוהה של ארגונים בו לארגונים רבים במשק. )לסעיף קטן (ה לחלק מהרשויות המוסמכות מוקנית סמכות להטיל עיצומים על ארגונים על הפרות לפי החוק המוצע, בשל מעשים המהווים הפרה גם מכוח חקיקה אחרת במסגרת האסדרה שמתבצעת על ידם. כדי לייצר ודאות למשק ולמנוע כפל ענישה, מוצע לקבוע שהממונה לא יטיל עיצום כספי לפי החוק המוצע, בשל מעשה המהווה הפרה לפי חוק אחר, שיש לרשות המוסמכת [סמכות להטיל בשלו עיצום כספי. בסעיפים אלה מוצע לקבוע את אופן הפעלת סעיפים הסמכות להטיל עיצום כספי. ההוראות המוצעות30 עד28 הן ההוראות המקובלות בהסדרי החקיקה השונים הכוללים סמכות זו. הוראות מפורטות אלה נועדו להבטיח הגנה על זכויות בסיסיות של ארגון במסגרת הליך מינהלי ראוי, הפעלה שוויונית של הסמכות ביחס לארגונים שונים ושקיפות של פעולת הממונה. מוצע לעגן את השלב הראשון בהפעלת28 בסעיף המוצע. מוצע כי כאשר27 הסמכות כלפי ארגון לפי סעיף יש לממונה יסוד סביר להניח כי ארגון הפר את הוראות החוק וקיימת כוונה להטיל עיצום כספי, תישלח הודעה על כוונת חיוב על ידי הממונה. מטרת הודעה זו להבהיר לארגון מה המעשה או המחדל המהווה את ההפרה, מועד ביצועה, מה סכום העיצום הכספי שצפוי להיות מוטל על המפר בשל ביצוע ההפרה האמורה ומה התקופה שבה נדרש לשלם. כמו כן מוצע שבהודעה תצוין זכותו של המפר לטעון את טענותיו לפני הממונה. , מוצע לעגן את זכות הטיעון של הארגון29 בסעיף לפני הממונה, כמקובל בהליך מינהלי. מוצע שמפר שנמסרה לו הודעה על כוונת חיוב כאמור, יהיה רשאי לטעון את טענותיו בכתב לפני הממונה, הן לעניין הכוונה ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1370 זכות טיעון .29 ,, רשאי לטעון את טענותיו28 מפר שנמסרה לו הודעה על כוונת חיוב לפי הוראות סעיף 30 בכתב, לפני הממונה, לעניין הכוונה להטיל עליו עיצום כספי ולעניין סכומו, בתוך ימים ממועד מסירת ההודעה, ורשאי הממונה להאריך את התקופה האמורה בתקופה נוספת מטעמים מיוחדים שיירשמו. החלטת הממונה ודרישת תשלום .30 , אם להטיל על המפר29 הממונה יחליט, לאחר ששקל את הטענות שנטענו לפי סעיף (א) .32 עיצום כספי, ורשאי הוא להפחית את סכום העיצום הכספי לפי הוראות סעיף - )החליט הממונה לפי הוראות סעיף קטן (א (ב) ימסור לו דרישה בכתב לשלם את העיצום- להטיל על המפר עיצום כספי )1( דרישת תשלום), ובה יציין, בין השאר, את סכום העיצום הכספי- הכספי (בפרק זה ;המעודכן ואת התקופה לתשלומו ימסור לו הודעה על כך בכתב.- שלא להטיל על הארגון עיצום כספי )2( בדרישת התשלום או בהודעה, לפי סעיף קטן (ב), יפרט הממונה את נימוקי (ג) החלטתו. , בתוך התקופה האמורה באותו29 לא טען המפר את טענותיו לפי הוראות סעיף (ד) סעיף, יראו את ההודעה על כוונת החיוב, בתום אותה תקופה, כדרישת תשלום שנמסרה למפר במועד האמור. הפרה נמשכת והפרה חוזרת .31 שלו100בהפרה נמשכת יתווסף על העיצום הכספי הקבוע לאותה הפרה החלק ה־ (א) לכל יום שבו נמשכת ההפרה לאחר קבלת הודעה, דרישת תשלום או התראה מינהלית. בהפרה חוזרת יתווסף על העיצום הכספי הקבוע לאותה הפרה, סכום השווה (ב) , הפרת הוראה מהוראות חוק זה- "לעיצום הכספי כאמור; לעניין זה, "הפרה חוזרת , בתוך שנתיים מהפרה קודמת של אותה הוראה שבשלה הוטל על23 כאמור בסעיף הארגון עיצום כספי או שבשלה הורשע. סכומים מופחתים .32 הממונה אינו רשאי להטיל עיצום כספי בסכום הנמוך מהסכומים הקבועים לפי (א) סימן זה, אלא לפי הוראות סעיף קטן (ב). ימים30 להטיל עליו עיצום כספי והן לגבי סכומו, בתוך מיום שנמסרה לו ההודעה, וכן מוצע שהממונה רשאי יהיה להאריך את התקופה האמורה בתקופה נוספת מטעמים מיוחדים שיירשמו. מוצע לקבוע כי רק לאחר ששקל הממונה30 בסעיף המוצע, יחליט אם יש29 את טענות הארגון לפי סעיף להטיל עיצום כספי ומה גובהו. החליט הממונה להטיל עיצום כספי, ישלח לארגון דרישת תשלום בכתב ובה יציין את סכום העיצום הכספי המעודכן ואת התקופה שבה ,נדרש לשלמו. החליט הממונה שלא להטיל עיצום כספי ימסור הודעה על כך לארגון, בכתב. (ד) המוצע, לקבוע שאם ארגון30 עוד מוצע בסעיף ימים ממסירת30 בחר שלא לטעון את טענותיו, בחלוף ההודעה הראשונית, יראו בה דרישת תשלום, ויהיה על המפר לשלם את סכום העיצום הכספי המצוין בה. ) לסעיף קטן (א31 סעיף חלק מההפרות של החובות הקבועות בחוק מוצע זה הן הפרות נמשכות לפי טבען. לכן, מוצע לקבוע בסעיף קטן (א) שכאשר הפרה היא הפרה נמשכת, יהיה רשאי ,הממונה להוסיף על העיצום הכספי הקבוע לאותה הפרה שלו כנגד כל יום שבו נמשכת ההפרה.100–את החלק ה )לסעיף קטן (ב עניינו של סעיף קטן מוצע זה הוא בהפרה חוזרת הפרת הוראה מהוראות החוק בתוך שנתיים מההפרה- הקודמת של אותה הוראה שבשלה הוטל על המפר עיצום כספי או שבשלה הורשע. ביחס להפרה חוזרת, מוצע לקבוע כי יוטל על המפר כפל העיצום הכספי. העיצום המוטל בשל הפרה חוזרת מבטא את הסלמת האמצעי הננקט ביחס למפר חוזר. מוצע להתוות את שיקול הדעת של הממונה32 סעיף ,בהטלת עיצום כספי ולקבוע שגורם מאסדר בהתייעצות עם ראש מערך הסייבר הלאומי ובהסכמת שר המשפטים, יהיה רשאי לקבוע בתקנות מקרים, נסיבות ושיקולים שבשלהם יהיה ניתן להטיל עיצום כספי בסכום הנמוך מהסכומים הקבועים לפי סימן מוצע זה, ובשיעורים תקנות ההפחתה).- שיקבע (להלן ד ב ר י ה ס ב ר 1371 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ,גורם מאסדר, בהתייעצות עם ראש מערך הסייבר הלאומי ובהסכמת שר המשפטים (ב) רשאי לקבוע מקרים, נסיבות ושיקולים שבשלהם יהיה ניתן להטיל עיצום כספי בסכום הנמוך מהסכומים הקבועים לפי סימן זה, ובשיעורים שיקבע. סכום מעודכן של העיצום הכספי .33 העיצום הכספי יהיה לפי סכומו המעודכן ביום מסירת דרישת התשלום, ולגבי (א) ביום מסירת ההודעה על- )(ד30 מפר שלא טען את טענותיו לפני הממונה כאמור בסעיף כוונת חיוב; הוגשה עתירה לבית המשפט לעניינים מינהליים או הוגש ערעור על פסק דין - בעתירה כאמור, ועוכב תשלומו של העיצום הכספי בידי הממונה או בידי בית המשפט יהיה העיצום הכספי לפי סכומו המעודכן ביום ההחלטה בעתירה או בערעור, לפי העניין. - בינואר בכל שנה (בסעיף קטן זה1סכום העיצום הכספי לפי פרק זה יתעדכן ב־ (ב) יום העדכון), בהתאם לשיעור שינוי המדד הידוע ביום העדכון לעומת המדד שהיה בינואר של השנה הקודמת; הסכום האמור יעוגל לסכום הקרוב שהוא מכפלה1ידוע ב־ מדד המחירים לצרכן שמפרסמת הלשכה- " שקלים חדשים; לעניין זה, "מדד10 של המרכזית לסטטיסטיקה. הממונה יפרסם ברשומות הודעה על סכום העיצום הכספי לפי סעיף קטן (ב). (ג) המועד לתשלום העיצום הכספי .34 ימים מיום מסירת דרישת התשלום30 על המפר לשלם את העיצום הכספי בתוך .30 כאמור בסעיף ריבית שקלית ודמי פיגורים .35 לא שילם המפר עיצום כספי במועד, ייווספו על העיצום הכספי, לתקופת הפיגור, ריבית חוק- 9 (בפרק זה‏1961-שקלית ודמי פיגורים לפי חוק פסיקת ריבית והצמדה, התשכ"א פסיקת ריבית והצמדה). פריסת תשלום העיצום הכספי .36 ,הממונה רשאי, לבקשת המפר, להחליט על פריסת התשלום של העיצום הכספי (א) בהתחשב בסכום העיצום הכספי שהוטל על המפר ובנסיבות מיוחדות אחרות המצדיקות תשלומים חודשיים.12 פריסה כאמור, ובלבד שמספר התשלומים לא יעלה על ,החליט המנהל על פריסת התשלום לפי סעיף קטן (א), תיווסף על סכום שיש לשלמו (ב) בתקופת הפריסה, ריבית שקלית לפי חוק פסיקת ריבית והצמדה. לא שילם המפר תשלום במועדו, יראו את החלטת הממונה על פריסת התשלום (ג) .35 כאמור בסעיף קטן (א) כבטלה, יתרת החוב תעמוד לפירעון מיידי ויחולו הוראות סעיף הממונה לא יהיה רשאי להטיל עיצום כספי בסכום נמוך מהסכומים הקבועים לפי סימן מוצע זה, אלא לפי הוראות תקנות ההפחתה. בתקנות ההפחתה, רשאי הגורם המאסדר לקבוע נסיבות ושיקולים שייבחנו, כגון שיקולים המעידים על כך שמדובר בארגון המציית בדרך כלל להוראות החוק או בארגון המשתף פעולה עם העובד המוסמך המגזרי או המנהל הבכיר ברשות המוסמכת, ואשר נכון לנקוט אמצעים למניעת הישנות ההפרה או לתקן את הנזקים שנגרמו בשלה. כמו כן, במסגרת תקנות ההפחתה יהיה ניתן להתחשב במחזור עסקאותיו של הארגון, אם מידע על אודותיו נמסר לממונה על ידי הארגון, ולקבוע אפשרות הפחתה של סכום העיצום הכספי במקרים שבהם קיים חשש להמשך פעילותו הכלכלית של הארגון. זאת, מאחר שמטרת העיצום הכספי, כאמור, היא להשיב את הארגון למשטר ציות בלי לסכן את המשך רציפותו התפקודית. מוצע לקבוע את מנגנון ההצמדה של סכום33 סעיף העיצום הכספי. מוצע לקבוע שארגון ישלם את העיצום הכספי34 סעיף ימים מיום מסירת דרישת התשלום30 בתוך לחוק המוצע.30 כאמור בסעיף מוצע לקבוע שאם לא שילם ארגון עיצום כספי35 סעיף במועד, תיווסף על העיצום הכספי, לתקופת הפיגור, ריבית שקלית ודמי פיגורים לפי חוק פסיקת ריבית , עד לתשלומו.1961-והצמדה, התשכ"א מוצע לקבוע את סמכות הממונה לפרוס את36 סעיף תשלום העיצום הכספי בהתחשב בסכומו ובנסיבות מיוחדות אחרות שיצדיקו פריסה כאמור, ובלבד תשלומים חודשיים.12 שמספר התשלומים לא יעלה על .192 'ס"ח התשכ"א, עמ 9 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1372 גבייה .37 עיצום כספי ייגבה לאוצר המדינה, ועל גבייתו יחול חוק המרכז לגביית קנסות, אגרות .10‏1599-והוצאות, התשנ"ה סימן ג': התראה מינהלית התראה מינהלית .38 היה לממונה יסוד סביר להניח כי ארגון הפר הוראה מההוראות לפי חוק זה, כאמור (א) , והתקיימו נסיבות שקבע ראש מערך הסייבר הלאומי, בנהלים, באישור היועץ27 בסעיף המשפטי לממשלה, רשאי הממונה, במקום להטיל עליו עיצום כספי לפי הוראות סימן ב', למסור לו התראה מינהלית לפי הוראות סימן זה; בסעיף קטן זה, "היועץ המשפטי לרבות משנה ליועץ המשפטי לממשלה שהיועץ המשפטי לממשלה- "לממשלה הסמיכו לעניין זה. בהתראה מינהלית יציין הממונה מהו המעשה המהווה את ההפרה ומועד (ב) ביצועה, יודיע למפר כי עליו להפסיק את ההפרה וכי אם ימשיך בהפרה או יחזור עליה יהיה צפוי לעיצום כספי בשל הפרה נמשכת או הפרה חוזרת, לפי העניין כאמור בסעיף .39 , וכן יציין את זכותו של המפר לבקש את ביטול ההתראה לפי הוראות סעיף31 ,על אף האמור בסעיף קטן (א), היה לממונה יסוד סביר להניח כי ארגון הפר (ג) לראשונה, הוראה מההוראות לפי חוק זה, כמפורט להלן, ובכוונתו להטיל עליו עיצום כספי לפי הוראות סימן ב', ימסור לו התראה מינהלית לפי הוראות סימן זה במקום :להטיל עליו עיצום כספי כאמור לתוספת6 )(ו) לתוספת הרביעית, כמפורט בפרט1( הפר את ההוראה שבפרט )1( ;השישית מוצע לקבוע, כי עיצום כספי ייגבה לאוצר37 סעיף המדינה ועל גבייתו יחול חוק המרכז לגביית .1599-קנסות, אגרות והוצאות, התשנ"ה סימן ג': התראה מינהלית ) לסעיף קטן (א38 סעיף סעיף מוצע זה מבקש לעגן את האפשרות לעשות ההתראה המינהלית. זהו כלי- שימוש בכלי אכיפה חלופי אכיפה המקל עם הארגון המפר, ומחליף במקרים מסוימים הטלה של עיצום כספי. כלי אכיפה זה הוא כלי המיועד לעודד ציות של ארגונים לפי החוק ולאפשר התמודדות עם הפרות עתידיות, על ידי מתן תמריץ שלילי לביצוע הפרות ותמריץ חיובי לציות. ההתראה המינהלית מאפשרת לארגון הזדמנות לתקן את ההפרה, בלא תשלום העיצום הכספי. זאת, אף על פי שהתשתית העובדתית שלפני הממונה מעידה כי הייתה הפרה של הוראות החוק. מנקודת מבטו של הממונה, מנגנון ההתראה מאפשר לו להבהיר את דרישותיו לארגונים, בטרם יטיל עליהם עיצום כספי. ההתראה המינהלית מאפשרת להבהיר גם לארגון המפר וגם לציבור הארגונים הרלוונטיים במגזר כי ההתנהגות שבשלה נשלחה ההתראה היא הפרה של הוראות החוק. יובהר כי השימוש בכלי זה מתאים רק להפרות שאין בהן חומרה יתרה. הפרות חמורות מחייבות הפגנת מדיניות רגולציה תקיפה ולכן, ככלל, נדרש יהיה להטיל עיצומים ולא יהיה ניתן להסתפק בהתראה. ככלל, גם במצב שבו המפר מפר את ההוראה שלא בפעם הראשונה, השימוש בכלי אכיפה זה אינו מתאים. כדי להבטיח שקיפות ושוויוניות באכיפה ולהגביר את הוודאות, מוצע להבנות את שיקול הדעת של הממונה בהפעלת הסמכות ולקבוע מהם המקרים המתאימים למשלוח התראה, בנהלים שיקבע ראש מערך הסייבר הלאומי באישור היועץ המשפטי לממשלה או משנה ליועץ המשפטי לממשלה שהוא הסמיך לכך. )לסעיף קטן (ב מוצע לקבוע שבמתן התראה מינהלית יציין הממונה מהו המעשה המהווה את ההפרה ומועד ביצועה, יודיע למפר כי עליו להפסיק את ההפרה וכי אם ימשיך בהפרה או יחזור עליה, יהיה צפוי לעיצום כספי בשל הפרה נמשכת , לחוק המוצע31 או הפרה חוזרת, לפי העניין, כאמור בסעיף וכן יציין את זכותו של המפר לבקש את ביטול ההתראה המוצע.39 לפי הוראות סעיף )לסעיף קטן (ג מוצע לקבוע כי ביחס להפרה בפעם הראשונה של דרישות מסוימות המפורטות בתוספת הרביעית לעניין רמת הגנת סייבר בסיסית בארגון חיוני, אשר בעניינן ייתכן שתעלה אי־בהירות באשר לאופן יישומן, תמיד תימסר התראה מינהלית טרם תימסר הודעה על כוונת חיוב וטרם לחוק המוצע.27 יוטל עיצום כספי לפי סעיף .170 'ס"ח התשנ"ה, עמ 10 ד ב ר י ה ס ב ר 1373 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו לתוספת8 )(ח) לתוספת הרביעית, כמפורט בפרט1( הפר את ההוראה שבפרט )2( ;השישית לתוספת27 )(ג) לתוספת הרביעית, כמפורט בפרט3( הפר את ההוראה שבפרט )3( ;השישית לתוספת36 5)ב) לתוספת הרביעית, כמפורט בפרט( הפר את ההוראה שבפרט )4( ;השישית לתוספת44 )(א) לתוספת הרביעית, כמפורט בפרט7( הפר את ההוראה שבפרט 5) ( ;השישית 5 לתוספת0 )(ד) לתוספת הרביעית, כמפורט בפרט8( הפר את ההוראה שבפרט )6( השישית. בקשה לביטול התראה מינהלית .39 ,, רשאי הוא לפנות לממונה, בכתב38 נמסרה למפר התראה מינהלית כאמור בסעיף (א) : ימים, בבקשה לבטל את ההתראה בשל כל אחד מטעמים אלה30 בתוך ;המפר לא ביצע את ההפרה )1( המעשה שביצע הארגון המפר, המפורט בהתראה, אינו מהווה הפרה של )2( הוראות חוק זה. הממונה רשאי להאריך את התקופה האמורה בסעיף קטן (א), מטעמים מיוחדים (ב) שיירשמו. קיבל הממונה בקשה לביטול התראה מינהלית לפי הוראות סעיף קטן (א), רשאי (ג) הוא לבטל את ההתראה או לדחות את הבקשה ולהשאיר את ההתראה על כנה; החלטת הממונה תינתן בכתב, ותימסר למפר בצירוף נימוקים. ) לסעיף קטן (א39 סעיף אף על פי שמשלוח ההתראה אינו מלווה בסנקציה מיידית, דוגמת הטלת העיצום הכספי, לנוכח העובדה שיש בהתראה קביעה בדבר ביצועה של הפרה )(א39 ומשמעויות עתידיות לגבי הפרות נוספות, בסעיף לחוק המוצע, מוצע לקבוע שארגון יהיה רשאי לבקש לבטל את ההתראה האמורה באמצעות הגשת בקשה בשל אחד :מהטעמים האלה .  הארגון לא ביצע את ההפרה.1 .  המעשה שביצע הארגון המפר, המפורט בהתראה, אינו2 מהווה הפרה של הוראות החוק המוצע. )לסעיף קטן (ב מוצע לקבוע כי הממונה רשאי להאריך את התקופה האמורה בסעיף קטן (א) המוצע מטעמים מיוחדים שיירשמו. )לסעיף קטן (ג מוצע לקבוע, בהמשך להגשת הבקשה לביטול ההתראה המינהלית, כי הממונה רשאי לבטל את ההתראה או לדחות את הבקשה ולהותיר את ההתראה על כנה. החלטת הממונה תינתן לארגון בכתב בצירוף נימוקי ההחלטה. יובהר, כי אם הארגון לא הגיש בקשה לביטול ימים מקבלת התראה30 ההתראה לפי סעיף זה בתוך מינהלית, בעת ביצוע הפרה נוספת (שבשלה יוטל עיצום כספי מוגבר), יהיה הארגון מנוע מלטעון כי לא ביצע את ההפרה הראשונה. תחימת אפשרות העלאת הטענות לשלב משלוח ההתראה בלבד נועדה ליצור סופיות להליכים, וכן ודאות ומתן תוקף להתראה ככזו שאמורה להניע את המפר לציית לחוק המוצע. לעניין זה יובהר כי מכיוון שבהתראה מינהלית מוותר הממונה על העיצום הכספי בשל ההפרה, סכום העיצום הכספי שיוטל במקרה זה הוא בשל הימשכות ההפרה, ואינו כולל את סכום העיצום הכספי בשל ההפרה הראשונית שבשלה ניתנה ההתראה. ההודעה על כוונת חיוב בשל הפרה מתמשכת או חוזרת שימסור הממונה לארגון במקרה המוצע, בשינויים המחויבים. כך31 זה תהיה כאמור בסעיף ,למשל, ההודעה תכלול פרטים הנוגעים להפרה הנמשכת ובין השאר נתונים לעניין התמשכות ההפרה או פרטים הנוגעים להפרה החוזרת ולסכום העיצום הכספי המוטל בגין ההפרה. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1374 הפרה נמשכת והפרה חוזרת לאחר התראה .40 נמסרה למפר התראה מינהלית לפי הוראות סימן זה והמפר המשיך להפר את (א) ההוראה שבשלה נמסרה לו ההתראה, יראו את ההפרה כאמור כהפרה נמשכת לעניין , והממונה ימסור למפר הודעה על כוונת חיוב בשל ההפרה הנמשכת, בהתאם31 סעיף , בשינויים המחויבים.28 להוראות סעיף נמסרה למפר התראה מינהלית לפי הוראות סימן זה והמפר חזר והפר את ההוראה (ב) שבשלה נמסרה לו ההתראה, בתוך שנתיים מיום מסירת ההתראה, יראו את ההפרה (ב), והממונה ימסור למפר הודעה על31 הנוספת כאמור כהפרה חוזרת לעניין סעיף , בשינויים המחויבים.28 כוונת חיוב בשל ההפרה החוזרת, בהתאם להוראות סעיף סימן ד': שונות עיצום כספי בשל הפרה של הוראות לפי חוק זה ולפי חוק אחר .41 וכן מהווה27 על מעשה אחד המהווה הפרה של הוראות לפי חוק זה המנויות בסעיף הפרה לפי חוק אחר, לא יוטל יותר מעיצום כספי אחד. עיכוב ביצוע והחזר .42 אין בהגשת עתירה לבית משפט לעניינים מינהליים על החלטת הממונה לפי פרק זה, כדי (א) לעכב את ביצוע ההחלטה, אלא אם כן הסכים לכך הממונה או שבית המשפט הורה על כך. החליט בית המשפט, לאחר ששולם העיצום הכספי, לקבל עתירה כאמור בסעיף (ב) קטן (א) או ערעור על פסק דין בעתירה כאמור והורה בית המשפט על החזרת סכום העיצום הכספי ששולם או על הפחתת העיצום הכספי, יוחזר הסכום ששולם או כל חלק ממנו אשר הופחת, לפי העניין, בתוספת הפרשי הצמדה וריבית, לפי חוק פסיקת ריבית והצמדה מיום תשלומו או הפקדתו עד יום החזרתו. פרסום .43 הטיל הממונה עיצום כספי לפי פרק זה, יפרסם באתר האינטרנט של רשות מוסמכת (א) את הפרטים שלהלן, בדרך שתבטיח שקיפות לגבי הפעלת שיקול דעתו בקבלת ההחלטה :להטיל עיצום כספי ;דבר הטלת העיצום הכספי )1( מוצע לקבוע כי אם נמסרה למפר התראה40 סעיף מינהלית והמפר המשיך להפר את ההוראה שבשלה נמסרה לו ההתראה, יראו את ההפרה כהפרה נמשכת, והממונה ימסור למפר הודעה על כוונת חיוב לחוק28 בשל ההפרה הנמשכת, בהתאם להוראות סעיף המוצע, בשינויים המחויבים. כמו כן, מוצע לקבוע כי אם נמסרה למפר התראה מינהלית והמפר חזר והפר את ההוראה שבשלה נמסרה לו ההתראה, בתוך שנתיים מיום מסירת ההתראה, יראו את ההפרה הנוספת כהפרה חוזרת והממונה ימסור למפר הודעה על כוונת חיוב בשל ההפרה לחוק המוצע, בשינויים28 החוזרת, בהתאם להוראות סעיף המחויבים. סימן ד': שונות מוצע לקבוע שעל מעשה אחד המהווה הפרה41 סעיף של הוראות החוק לפי ההפרות המנויות בפרק מוצע זה, אשר מהווה הפרה גם לפי חוק אחר, לא יוטל יותר מעיצום כספי אחד, וזאת כדי ליצור ודאות וסופיות דיונית. מוצע לקבוע שאין בהגשת עתירה לבית משפט42 סעיף לעניינים מינהליים על החלטת הממונה לפי פרק מוצע זה, כדי לעכב את ביצוע החלטתו, אלא אם כן הסכים לכך הממונה או שבית המשפט שאליו הוגשה העתירה הורה על כך. כמו כן מוצע לקבוע הוראות לעניין החזרת ,הסכום ששולם בנסיבות שבהן החליט כאמור בית המשפט לאחר ששולם העיצום הכספי. ) לסעיף קטן (א43 סעיף מוצע לחייב את הממונה לפרסם את החלטותיו בדבר הטלת העיצום הכספי. תכלית חובת הפרסום היא ,הבטחת שקיפות לגבי הפעלת שיקול דעתו של הממונה אשר בידיו מסורה סמכות רבת עוצמה. באמצעות הפרסום מובטחת בקרה ציבורית על כך שהשימוש בסמכות להטיל עיצום כספי הוא שוויוני וענייני. חובת הפרסום חלה על ההחלטות בדבר הטלת העיצומים הכספיים, מהות ההפרה שבשלה הוטל העיצום הכספי ונסיבות ההפרה, סכומי העיצומים הכספיים שהוטלו, הנסיבות והשיעורים שבהם הם הופחתו, אם הופחתו, פרטים על אודות הארגון המפר הנוגעים לעניין ושם הארגון המפר. מידע זה יאפשר בחינה רוחבית מושכלת של הטלת העיצומים הכספיים ויאפשר לארגון לדעת כי העיצום הכספי המוטל במקרה שלו תואם את המדיניות הכללית הנוגעת להפעלת הסמכות האמורה. ד ב ר י ה ס ב ר 1375הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ;מהות ההפרה שבשלה הוטל העיצום הכספי ונסיבות ההפרה )2( ;סכום העיצום הכספי שהוטל )3( הנסיבות שבשלהן הופחת סכום העיצום- אם הופחת העיצום הכספי )4( ;ושיעורי ההפחתה ;פרטים על אודות הארגון המפר, הנוגעים לעניין 5) ( שם הארגון המפר. )6( הוגשה עתירה לבית משפט לעניינים מינהליים על החלטת הממונה להטיל עיצום (ב) כספי או הוגש ערעור על החלטה בעתירה כאמור, יפרסם הממונה, לפי סעיף קטן (א) גם את דבר הגשת העתירה או הערעור ואת תוצאותיהם. ,על אף האמור בסעיף זה, רשאי הממונה, בהתייעצות עם מערך הסייבר הלאומי (ג) ימים כל אחת, אם מצא כי הוא עלול30 לדחות את הפרסום בתקופות נוספות של לפגוע בהגנת הסייבר הלאומית או בהגנת הסייבר של הארגון המפר; הממונה לא יפרסם 9(א) לחוק חופש פרטים שהם בגדר מידע שרשות ציבורית מנועה מלמסור לפי סעיף , וכן רשאי הוא שלא לפרסם פרטים לפי סעיף זה, שהם בגדר11‏1998-המידע, התשנ"ח 9(ב) לחוק האמור. מידע שרשות ציבורית אינה חייבת למסור לפי סעיף פרסום לפי סעיף זה יהיה לתקופה של ארבע שנים. (ד) מנהל הרשות המוסמכת רשאי לקבוע דרכים נוספות לפרסום הפרטים האמורים (ה) בסעיף זה. שמירת אחריות פלילית .44 תשלום עיצום כספי או מסירת התראה מינהלית, לפי פרק זה, לא יגרעו מאחריותו הפלילית (א) של אדם בשל הפרת הוראה מההוראות לפי חוק זה המנויות בפרק ח', המהווה עבירה. מסר הממונה למפר הודעה על כוונת חיוב או התראה מינהלית, בשל הפרה (ב) המהווה גם עבירה, לא יוגש נגדו כתב אישום בשל אותה הפרה, אלא אם כן התגלו עובדות חדשות המצדיקות זאת; התגלו עובדות חדשות כאמור והוגש נגד המפר כתב אישום לאחר שהמפר שילם עיצום כספי, יוחזר לו הסכום ששולם בתוספת ריבית שקלית לפי חוק פסיקת ריבית והצמדה מיום תשלום הסכום עד יום החזרתו. )לסעיף קטן (ב מוצע לקבוע כי אם הוגשה עתירה לבתי משפט לעניינים מינהליים על החלטת הממונה להטיל עיצום כספי או הוגש ערעור על החלטה בעתירה כאמור, יפרסם הממונה, לפי סעיף קטן (א) המוצע גם את דבר הגשת העתירה או הערעור ואת תוצאותיהם. )לסעיף קטן (ג מוצע לקבוע כי הממונה יהיה רשאי, בהתייעצות עם מערך הסייבר הלאומי, לדחות את הפרסום בתקופות ימים כל אחת, אם מצא כי הוא עלול לפגוע30 נוספות של בהגנת הסייבר הלאומית או בהגנת הסייבר של הארגון המפר. עוד מוצע לקבוע שהממונה לא יפרסם פרטים שהם )9(א בגדר מידע שרשות ציבורית מנועה מלמסור לפי סעיף , וכן רשאי הוא שלא1998-לחוק חופש המידע, התשנ"ח לפרסם פרטים לפי סעיף זה, שהם בגדר מידע שרשות 9(ב) לחוק האמור. ציבורית אינה חייבת למסור לפי סעיף עוד מוצע בסעיף קטן (ד) להגביל את תקופת הפרסום לארבע שנים ובסעיף קטן (ה) לקבוע כי מנהל הרשות המוסמכת רשאי לקבוע דרכים נוספות לפרסום הפרטים האמורים בסעיף המוצע. ) לסעיף קטן (א44 סעיף מוצע לקבוע שתשלום עיצום כספי או מסירת התראה מינהלית לפי פרק זה, לא יגרעו מאחריותו הפלילית של אדם, לרבות ארגון, בשל הפרת הוראה מהוראות לפי פרק ח' לחוק מוצע זה. )לסעיף קטן (ב מוצע לקבוע כי אם מסר הממונה למפר הודעה על כוונת חיוב או התראה מינהלית בשל הפרה המהווה גם עבירה, לא יוגש נגדו כתב אישום בשל אותה הפרה, אלא אם כן התגלו עובדות חדשות המצדיקות זאת. .226 'ס"ח התשנ"ח, עמ 11 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1376 הוגש נגד אדם כתב אישום בשל עבירה המהווה הפרה, לא ינקוט נגדו הממונה (ג) הליכים לפי פרק זה בשל ההפרה. שינוי התוספת השישית .45 ראש הממשלה, לאחר שהובאה לפניו המלצת ראש מערך הסייבר הלאומי, בהסכמת (א) שר המשפטים, רשאי, בצו, לשנות את חלק א' לתוספת השישית, ובלבד שסכום העיצום שקלים חדשים.640,000 הכספי שייקבע בטור ב' בחלק א' לאותה תוספת, לא יעלה על ,9(ג) דרישות נוספות כאמור באותו סעיף גורם מאסדר שקבע בתקנות לפי סעיף (ב) ,החלות לעניין ארגונים חיוניים במגזר שבו הוא אמון על אסדרת תחום הגנת הסייבר ,רשאי, בצו, בהתייעצות עם ראש מערך הסייבר הלאומי, בהסכמת שר המשפטים ובאישור ועדת החוץ והביטחון של הכנסת, להוסיף לחלק ב' לתוספת השישית, דרישות שנקבעו כאמור, בציון המגזר שלגביו הן חלות, ובלבד שסכום העיצום הכספי שיקבע 640,000 בטור ב' בחלק ב' לאותה תוספת, לצד הדרישות שנוספו כאמור, לא יעלה על שקלים חדשים. פרק ח': סודיות ועונשין ,שמירת סודיות הגבלת שימוש ומחיקה .46 אדם שהגיע לידיו לפי חוק זה מידע אישי, ישמור אותו בסוד, לא יגלה אותו לאחר (א) ולא יעשה בו כל שימוש, אלא לשם ביצוע חוק זה, לשם הפעלת סמכות לפי דין שעניינה הגנת סייבר, או לפי צו של בית משפט. מידע אישי שהתקבל לפי חוק זה יישמר בהיקף המזערי הנדרש, ויימחק לאחר (ב) שנתיים לכל היותר מעת קבלתו, אלא אם כן קבע עובד מוסמך מגזרי או עובד מוסמך במערך כי הוא חיוני לזיהוי מאפייני תקיפת סייבר או להתמודדות עם תקיפת סייבר שמתרחשת או שיש חשש שעומדת להתרחש, או שהוא נדרש להליכים לפי פרק זה או פרק ז', וכל עוד הוא חיוני או נדרש כאמור. )לסעיף קטן (ג מוצע לקבוע שאם הוגש כתב אישום נגד אדם (לרבות ארגון) בשל עבירה המהווה הפרה, לא ינקוט נגדו הממונה הליכים לפי פרק מוצע זה בשל ההפרה. ) לסעיף קטן (א45 סעיף מוצע לקבוע שראש הממשלה, לאחר שהובאה לפניו המלצת ראש מערך הסייבר הלאומי, בהסכמת שר המשפטים, רשאי, בצו, לשנות את חלק א' לתוספת השישית, ובלבד שסכום העיצום הכספי שייקבע בטור שקלים640,000 ב' בחלק א' לאותה תוספת לא יעלה על חדשים. )לסעיף קטן (ב מוצע לקבוע שגורם מאסדר אשר קבע תקנות לעניין דרישות רמת הגנה נוספות לארגון חיוני בהתאם לסעיף 9(ג) לחוק המוצע, רשאי בצו, בהתייעצות עם ראש מערך הסייבר הלאומי, בהסכמת שר המשפטים ובאישור ועדת ,החוץ והביטחון בכנסת, להוסיף לחלק ב' לתוספת השישית לעניין המגזר שהוא אמון על אסדרתו, דרישות נוספות שיהיה אפשר להטיל בשל הפרתן עיצום כספי, תוך קביעת סכום העיצום בטור ב' לצידן, ובלבד שסכום העיצום הכספי 640,000 שיקבע כאמור לצד הדרישות שנוספו לא יעלה על שקלים חדשים. פרק ח': סודיות ועונשין ) לסעיף קטן (א46 סעיף כדי להגן על הזכות לפרטיות של אדם שמידע אישי לגביו הגיע לידי אדם אחר לפי החוק המוצע, מוצע לקבוע שאם אדם קיבל מידע אישי שהתקבל לפי החוק המוצע, הוא ישמור אותו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לשם ביצוע החוק המוצע, לשם הפעלת סמכות לפי דין שעניינה הגנת סייבר, או לפי צו של בית משפט. יצוין שהגנת סייבר כוללת, לרבות בהקשר של סעיף מוצע זה, אבטחת מידע. )לסעיף קטן (ב מוצע לקבוע שמידע אישי שהתקבל לפי חוק זה יישמר בהיקף המזערי הנדרש, ויימחק לאחר שנתיים לכל היותר מעת קבלתו, אלא אם כן קבע עובד מוסמך מגזרי או עובד מוסמך במערך הסייבר הלאומי כי הוא חיוני לזיהוי מאפייני תקיפת סייבר או להתמודדות עם תקיפת סייבר שמתרחשת או שיש חשש שעומדת להתרחש או שהוא נדרש להליכי הטלת עיצומים לפי פרק זה או פרק ז' לחוק המוצע, וכל עוד הוא חיוני או נדרש כאמור. ד ב ר י ה ס ב ר 1377 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו פרסום פומבי של זהות ארגון שהתקבלה לפי חוק זה, יהיה באישור מנהל בכיר (ג) במערך או מנהל בכיר ברשות מוסמכת לאחר שנתן לארגון הזדמנות להשמיע את טענותיו. אדם שגילה מידע אישי שהתקבל לפי חוק זה, עשה שימוש במידע אישי כאמור (ד) מאסר שלוש שנים.- או שמר מידע כאמור, בניגוד להוראות סעיף זה, דינו עונשין .47 )4()(א61 מאסר שנתיים או קנס כאמור בסעיף- ארגון העושה אחד מאלה, דינו (א) :לחוק העונשין לא נקט אמצעים כפי שהורה ראש מערך הסייבר הלאומי או ראש מלמ"ב )1( ;), בהתאמה6()(א21 או לפי הסעיף האמור כפי שהוחל בסעיף11 לפי סעיף )(ג14 לא מילא הוראה שנתן לו עובד מוסמך מגזרי, בניגוד להוראות סעיפים )2( (א), או לא מילא הוראה שנתן לו עובד מוסמך במערך לפי אותם15 5) או(–) ו4( ;)(א16 סעיפים, בניגוד להוראות סעיף )(ג14 לא מילא הוראה שנתן לו עובד מוסמך במלמ"ב, בניגוד להוראות סעיף )3( .21 5) כפי שהוחל בסעיף(–) ו4( הייתה העבירה כאמור בסעיף קטן (א) עבירה נמשכת, רשאי בית המשפט להטיל (ב) (ג) לחוק העונשין, לכל יום שבו נמשכת העבירה.61 קנס נוסף, בשיעור הקבוע בסעיף אחריות נושא משרה בתאגיד .48 תאגיד) חייב לפקח ולעשות כל- נושא משרה בארגון שהוא תאגיד (בסעיף זה (א) (א) בידי תאגיד או בידי עובד מעובדיו; המפר הוראה47 שניתן למניעת עבירות לפי סעיף - ") לחוק העונשין; לעניין סעיף זה, "נושא משרה3()(א61 קנס כאמור בסעיף- זו, דינו מנהל פעיל בתאגיד, שותף למעט שותף מוגבל, או פקיד האחראי מטעם התאגיד על התחום שבו בוצעה העבירה. )לסעיף קטן (ג ,מוצע לקבוע שפעולה יזומה של רשות מוסמכת לרבות פעולה כאמור של מלמ"ב או של השירות המבוצעת לחוק המוצע, בהתאמה, או פעולה22– ו21 מכוח סעיפים לפרסום פומבי של זהות ארגון, לרבות- כאמור של המערך ,ארגון חיוני או ספק שירותים דיגיטליים או שירותי אחסון שהתקבלה לפי החוק המוצע, תהיה באישור מנהל בכיר ,במערך הסייבר הלאומי או מנהל בכיר ברשות מוסמכת במלמ"ב או בשירות, בהתאמה, לאחר שגורם זה נתן לארגון הזדמנות להשמיע את טענותיו. )לסעיף קטן (ד מוצע לקבוע עבירה שדינה שלוש שנות מאסר על אדם שגילה מידע אישי שהתקבל מארגון לפי החוק המוצע, עשה שימוש במידע אישי שהתקבל מארגון לפי החוק המוצע או שמר מידע כאמור, בניגוד להוראות סעיף מוצע זה. לנוכח הפגיעה האפשרית באינטרס הציבורי47 סעיף ,כתוצאה מהפרה של הוראות החוק המוצע מוצע להטיל אחריות פלילית על ארגון שלא קיים הוראה שתכליתה הגנה על הציבור מפני תקיפות סייבר. )לסעיף קטן (א מוצע לקבוע עבירה שדינה מאסר שנתיים או קנס ) לחוק העונשין, על ארגון שלא4()(א61 כאמור בסעיף נקט אמצעים להתמודדות עם סיכון משמעותי במשק או למניעתו, אשר נדרשים באופן דחוף, כפי שהורה ראש המוצע או שהורה11 מערך הסייבר הלאומי לפי סעיף )(א21 המוצע כפי שהוחל בסעיף11 ראש מלמ"ב לפי סעיף ) בהתאמה. כמו כן מוצע להטיל אחריות פלילית בעבירה6( כאמור על ארגון שלא מילא הוראה להתמודדות עם תקיפת סייבר חמורה שנתן לו עובד מוסמך מגזרי בניגוד להוראות (א) לחוק המוצע, ועל ארגון15 5) או(–) ו4()(ג14 סעיפים שלא מילא הוראה שנתן לו עובד מוסמך במערך הסייבר )(א16 הלאומי, לפי אותם סעיפים, בניגוד להוראות סעיף לחוק המוצע, או שלא מילא הוראה שנתן לו עובד מוסמך 5) לחוק המוצע(–) ו4()(ג14 במלמ"ב בניגוד להוראות סעיף המוצע.21 כפי שהוחל בסעיף )לסעיף קטן (ב מוצע לקבוע שאם מדובר בעבירה נמשכת, נוסף על ,העונש האמור, בית המשפט יהיה רשאי להטיל קנס נוסף (ג) לחוק העונשין, לכל יום שבו61 בשיעור הקבוע בסעיף נמשכת העבירה. , מוצע לקבוע שנושא משרה בארגון שהוא תאגיד48 סעיף כלומר מנהל פעיל בתאגיד, שותף למעט שותף מוגבל, או פקיד האחראי מטעם התאגיד על התחום שבו בוצעה העבירה, חייב לפקח ולעשות כל שניתן למניעת (א) לחוק המוצע בידי התאגיד או בידי47 עבירות לפי סעיף עובד מעובדיו, ואם הפר הוראה זו, יוטל עליו קנס כאמור ) לחוק העונשין.3()(א61 בסעיף ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1378 (א) בידי תאגיד או בידי עובד מעובדיו, חזקה היא כי47 נעברה עבירה לפי סעיף (ב) נושא משרה בתאגיד הפר את חובתו לפי סעיף קטן (א), אלא אם כן הוכיח כי עשה כל שניתן כדי למלא את חובתו. פרק ט': הוראות שונות מתן סיוע בידי המערך לארגון המעוניין בכך .49 במסגרת סיוע בהגנת סייבר שנותן מערך הסייבר הלאומי, רשאי עובד המערך, כדי (א) לסייע לארגון המעוניין בכך, לבצע פעולות סיוע בהגנת סייבר הכרוכות בקבלת מידע :אישי, אם מתקיימים כל אלה :עובד המערך הסביר לנציג הארגון את כל אלה )1( ;הטעם המקצועי לסיוע (א) ;הפעולות שיתבצעו כחלק מהסיוע (ב) ;האפשרות של הארגון שלא לקבל את הסיוע (ג) לארגון יש מדיניות בנוגע לגישה למידע אישי ולעיבודו, ובמסגרתה הובהר )2( ;כי קיימת אפשרות להעברת מידע אישי לגורם מחוץ לארגון לצורכי הגנת סייבר ואולם אם נדרש מתן סיוע דחוף לארגון שאין לו מדיניות כאמור, רשאי עובד המערך לבצע פעולות סיוע כאמור אם הארגון התחייב לפניו ליידע את עובדיו על קבלת הסיוע ולפרסם מדיניות כאמור בסמוך ככל האפשר לאחר קבלת הסיוע. - )במסגרת פעולות סיוע בהגנת סייבר המבוצעות לפי סעיף קטן (א (ב) לא יעובד מידע אישי אלא במידה הנדרשת לשם הגנת סייבר, בשים לב )1( ;לרגישות המידע ובאופן שיצמצם ככל האפשר את הסיכון לפגיעה בפרטיות כמו כן, מוצע לקבוע חזקה ולפיה אם נעברה עבירה (א) בידי תאגיד או בידי עובד מעובדיו, נושא47 לפי סעיף משרה בתאגיד הפר את חובתו לפקח ולמנוע עבירות כאמור אלא אם כן הוכיח כי עשה כל שניתן כדי למלא את חובתו. פרק ט': הוראות שונות מערך הסייבר הלאומי מסייע, בהקשרים49 סעיף ,ובתנאים שונים, לאנשים ולגופים שונים במטרה בין השאר, להעלות את רמת ההגנה שלהם ולמנוע, לאתר או להתמודד עם תקיפות סייבר. סיוע זה מאפשר לקדם הגנה לאומית טובה יותר על המשק הישראלי בכללותו. מטרת הסעיף המוצע היא להגדיר את התנאים הנדרשים למתן סיוע בהגנת סייבר של עובד מערך הסייבר הלאומי או מי מטעמו לארגון המעוניין בכך, אם אותו סיוע כאמור כרוך בקבלת מידע אישי כהגדרתו בחוק הגנת הפרטיות. הסיוע האמור יכול להינתן בעקבות פניית מערך הסייבר הלאומי לארגון או לבקשת הארגון. יודגש כי במרבית המקרים, פעולות הסיוע של מערך הסייבר הלאומי אינן כרוכות בקבלת מידע אישי ופעולות מסוג זה אינן מוסדרות בחוק. לעניין זה יובהר כי גם במקרים שבהם סיוע מאת מערך הסייבר הלאומי עלול להיות כרוך בחשיפה למידע אישי, מדובר בתוצר נלווה לפעולת הסיוע שכן זוהי אינה מטרת הפעולה. עוד יובהר, כי אין בהוראות סעיף מוצע זה כדי להגביל מתן סיוע בנסיבות אחרות, אם אותו סיוע אינו כרוך בקבלת מידע אישי או אם מדובר בסיוע הניתן לאדם ולא לארגון. נוסף על כך, יובהר כי מתן הסיוע כרוך בהשקעת משאבים ציבוריים, ולכן מתן הסיוע האמור בסעיף מוצע זה לא יינתן לכל ארגון, אלא יינתן בכפוף לשיקול דעת מערך הסייבר הלאומי ובהתאם לגדרי המוצע בסעיף. כמו כן, מוצע לקבוע שמתן סיוע בהגנת הסייבר לפי סעיף מוצע זה יינתן לארגון הנמנה עם מגזר המנוי בתוספת הראשונה, על ידי המערך, לאחר התייעצות עם הרשות המוסמכת הנוגעת לעניין לגבי עצם מתן הסיוע. יובהר כי הסעיף המוצע לא יחול לגבי גופים ממשלתיים, מאחר שפעולות המבוצעות עימם ובעבורם הן במסגרת פעילות משולבת של מערך הסייבר הלאומי עם גוף ממשלתי אחר, ואין מדובר בפעולות סיוע. נוסף על כך, מוצע להגדיר מה ייחשב ל"פעולת סיוע בהגנת סייבר" לעניין סעיף מוצע זה (סעיף קטן (ו)). על פי ,המוצע, מדובר בפעולות לצורך סיוע במניעת תקיפת סייבר איתור תקיפת סייבר או התמודדות עימה, לרבות פעולות הכרוכות בקבלת מידע בעל ערך לשם הגנת סייבר, באופן חד־פעמי או מתמשך או בקבלת גישה למחשב או לחומר ד ב ר י ה ס ב ר 1379הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו ייעשה שימוש בטכנולוגיות ובשיטות פעולה באופן שיצמצם ככל האפשר )2( - חשיפה של אדם למידע אישי, ובכלל זה מידע העלול לכלול מידע אישי לא יעובד על ידי אדם, אלא אם כן קבע (א) מנהל מוסמך כי אופי פעולת הסיוע מחייב עיבוד על ידי אדם, בין השאר לצורך התמודדות עם תקיפת סייבר שמתרחשת או שיש חשש שעומדת ;להתרחש או לצורך ביצוע מבדק חדירות למערכות הארגון - )עיבוד על ידי אדם כאמור בפסקת משנה (א (ב) יבוצע בידי מי שעבר הכשרה לעניין הגנה על מידע אישי כפי )1( ;שקבע ראש מערך הסייבר הלאומי, ובידו הרשאת גישה למידע יתועד באופן שיאפשר פיקוח ובקרה על אופן ביצוע העיבוד, על )2( מועד ביצועו ועל זהות מבצע העיבוד; המערך ישמור את התיעוד ; שנים לפחות3 שבוצע לפי פסקת משנה זו למשך פעולת סיוע בהגנת סייבר שהיא פעולה להגנת סייבר בחומר מחשב, תבוצע )3( באמצעות נציג הארגון, אלא אם כן אישר ראש מערך הסייבר הלאומי, מטעמים ;מיוחדים, על פי בקשה בכתב מאת הארגון, כי הפעולה תבוצע בידי עובד המערך אישר כאמור, תבוצע הפעולה בנוכחות נציג הארגון. מחשב. יובהר שסיוע בהגנת סייבר אפשר שיינתן לא רק במסגרת התמודדות עם תקיפת סייבר פעילה אלא גם לשם ,מניעתה, לרבות סיוע בפעולות להעלאת חוסן בשגרה בנסיבות שבהן הוחלט לתת סיוע כאמור. עוד מוצע להגדיר את הארגונים שמערך הסייבר הלאומי יוכל לתת להם סיוע בהגנת סייבר תוך קבלת מידע אישי לפי סעיף מוצע זה. על פי המוצע, נדרש שמדובר בארגון אשר ראש מערך הסייבר הלאומי קבע כי קיים ,אינטרס לאומי לסייע לו בהגנת סייבר לפי סעיף מוצע זה או ארגון שמתרחשת או שיש חשש שמתרחשת תקיפת סייבר נגדו או באמצעותו, ושמנהל בכיר במערך קבע כי קיים אינטרס לאומי לסייע לו בהגנת סייבר לפי סעיף מוצע זה אגב אותה תקיפת סייבר. בסעיף קטן (א), מוצע לקבוע שורה של תנאים שבהתקיימם יוכל עובד המערך לבצע פעולות סיוע בהגנת סייבר הכרוכות בקבלת מידע אישי, כדי לסייע לארגון :המעוניין בכך, כמפורט להלן .  תחילה, נדרש שעובד המערך יסביר לנציג הארגון1 את הטעם המקצועי לסיוע, הפעולות שיתבצעו כחלק מהסיוע והאפשרות של הארגון שלא לקבל את הסיוע )). יובהר כי ארגון שהסכים לקבל סיוע בהגנת1( (פסקה הסייבר לפי הסעיף המוצע, רשאי בכל עת להודיע בכתב כולו- למערך הסייבר הלאומי שאינו מעוניין עוד בסיוע או חלקו, והסיוע יופסק בהקדם האפשרי (סעיף קטן (ו)). .  כדי לצמצם את הפגיעה האפשרית בזכויות, מוצע2 לקבוע שסיוע לפי סעיף זה יינתן לארגון בעל מדיניות בנוגע לגישה למידע אישי ולעיבודו, שבמסגרתה הובהרה האפשרות להעביר מידע אישי לגורם מחוץ לארגון לצורכי הגנת הסייבר. ואולם בנסיבות שבהן נדרש סיוע דחוף לארגון שאין לו מדיניות כאמור, יוכל עובד מערך הסייבר לבצע את פעולות הסיוע אם הארגון התחייב לפניו ליידע את עובדיו בדבר קבלת הסיוע וכן לפרסם מדיניות כאמור )). בהקשר2( בסמוך ככל האפשר לאחר קבלת הסיוע (פסקה זה יובהר שבחלק מהמקרים, מטעמים הנוגעים לביטחון הציבור, לא ניתן לחשוף לקהל הרחב את מתן הסיוע הדחוף עד למועד מאוחר לקבלתו על ידי הארגון. אף על פי שכאמור, החשיפה למידע אישי היא תהליך נלווה לפעולות הסיוע להגנת סייבר שאינה במוקד הסיוע ,האמור, וכדי להבטיח הגנה מרבית על הזכות לפרטיות מוצע, בסעיף קטן (ב), לקבוע שלא יעובד מידע אישי בהתאם לסעיף מוצע זה אלא במידה הנדרשת לשם הגנת סייבר, בשים לב לרגישות המידע ובאופן שיצמצם ככל האפשר את הסיכון לפגיעה בפרטיות. עוד מוצע לקבוע שעובד מערך הסייבר הלאומי יעשה במסגרת סיוע לפי סעיף מוצע זה שימוש בטכנולוגיות ובשיטות פעולה באופן שיצמצם ככל האפשר חשיפה של אדם למידע אישי. בכלל זה, מידע העלול לכלול מידע אישי לא יעובד על ידי אדם אלא אם כן קבע מנהל מוסמך כי אופי פעולת הסיוע מחייבת עיבוד על ידי אדם, בין השאר לצורך התמודדות עם תקיפת סייבר או ביצוע מבדק חדירות למערכות הארגון. נוסף על כך, מוצע לקבוע כי עיבוד על ידי אדם במקרים כאמור בפסקת משנה (א) יבוצע בידי מי שעבר הכשרה לעניין הגנה על מידע אישי כפי שקבע ראש מערך הסייבר הלאומי ובידו הרשאת גישה למידע, ויתועד באופן שיאפשר פיקוח ובקרה על אופן ביצוע העיבוד, על מועד ביצועו ועל זהות מבצע העיבוד. המערך ישמור את התיעוד שנים לפחות.3 שבוצע לפי פסקת משנה זו למשך ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1380 ארגון שקיבל סיוע בהגנת סייבר לפי הוראות סעיף זה רשאי בכל עת להודיע בכתב (ג) למערך הסייבר הלאומי שאינו מעוניין עוד בהמשך פעולות הסיוע בהגנת סייבר; הודיע כאמור, יופסקו פעולות הסיוע בהקדם האפשרי. לשם קבלת סיוע בהגנת סייבר לפי סעיף זה רשאי ארגון למסור מידע אישי למערך (ד) הסייבר הלאומי. מערך הסייבר הלאומי יבצע פעולות סיוע בהגנת הסייבר, לפי סעיף זה, במסגרת (ה) , לאחר1 ) להגדרה "מגזר" שבסעיף1( סיוע לארגון הנמנה עם מגזר כאמור בפסקה התייעצות עם הרשות המוסמכת. פעולות סיוע בהגנת סייבר לפי סעיף זה יכול שיבוצעו, במסגרת סיוע בהגנת סייבר (ו) ,שניתן לארגון הנמנה עם מגזר כאמור בסעיף קטן (ה), גם על ידי הרשות המוסמכת , מגזרי, ויחולו על פעולות הסיוע כאמור הוראות סעיף זהSOC במסגרת הפעלת בשינויים המחויבים ובשינוי זה: סמכות הנתונה לראש מערך הסייבר הלאומי לפי סעיף זה תהיה נתונה למנהל הרשות המוסמכת. - בסעיף זה (ז) : כל אחד מאלה- ""ארגון ארגון שראש מערך הסייבר הלאומי אישר כי קיים אינטרס לאומי לתת לו )1( ;סיוע בהגנת סייבר לפי סעיף זה ,ארגון שמתרחשת או שיש חשש שמתרחשת תקיפת סייבר נגדו או באמצעותו )2( ומנהל בכיר במערך קבע כי קיים אינטרס לאומי לסייע לו בהגנת סייבר לפי סעיף ;זה אגב אותה תקיפת סייבר ; כהגדרתו בחוק הגנת הפרטיות- ""עיבוד פעולות לצורך סיוע במניעת תקיפת סייבר, איתור- ""פעולות סיוע בהגנת סייבר תקיפת סייבר או התמודדות עם תקיפת סייבר, לרבות פעולות הכרוכות בקבלת מידע בעל ערך לשם הגנת סייבר, באופן חד–פעמי או מתמשך, או בקבלת גישה למחשב או לחומר מחשב. עוד מוצע שככלל, פעולה בחומר מחשב במסגרת סיוע וולונטרי לפי סעיף מוצע זה, תתבצע על ידי נציג הארגון. יודגש כי ככלל, ביצוע פעולות על העתק חומר מחשב שנמסר מהארגון באופן וולנטרי במסגרת סיוע לפי סעיף זה פוגענית פחות מביצוע פעולות במחשבי הארגון עצמם, ועל כן אפשר שפעולה בהעתק חומר מחשב כאמור תתבצע על ידי עובד במערך הסייבר הלאומי, בעוד פעולת סיוע שהיא פעולה להגנת סייבר בחומר מחשב לפי סעיף ,זה, שאינו עותק של מחשב, תתבצע באמצעות נציג הארגון אלא אם כן אישר ראש המערך, מטעמים מיוחדים, על פי בקשה בכתב מאת הארגון, כי הפעולה תבוצע בידי ,עובד המערך. על פי המוצע, אם אישר ראש המערך כאמור תבוצע הפעולה בנוכחות נציג הארגון. להשלמת התמונה, מוצע להבהיר שארגון יוכל למסור מידע אישי במסגרת קבלת סיוע לפי סעיף זה והדבר לא ייחשב לפגיעה בפרטיות (סעיף קטן (ד)). נוסף על כך, מוצע, בסעיף קטן (ו), לקבוע שרשות מוסמכת תוכל לתת סיוע לארגון הנמנה עם המגזר שעליו היא אמונה בהתאם לתוספת הראשונה המוצעת, במסגרת מגזרי), כחלקSOC( הפעלת מרכז שליטה ובקרה מגזרי מגיבוש תמונת מצב שוטפת בהיבטי הגנת הסייבר והטיפול באירועי סייבר במגזר. במקרים אלה הוראות הסעיף, לרבות האיזונים והבלמים שנקבעו בו, יחולו בשינויים המחויבים ובשינוי זה: "הסמכות הנתונה לראש מערך הסייבר הלאומי לפי סעיף זה תהיה נתונה למנהל הרשות המוסמכת". SOC למען הסר ספק, יובהר כי הסעיף אינו חל על הפעלת ,ממשלתי לעניין הגנת הסייבר של משרדי הממשלה עצמם הכלולה, בין השאר, במסגרת תנאי ההעסקה של עובדי המדינה, וההסדרים בסעיף אינם מתייחסים אליה. ד ב ר י ה ס ב ר 1381 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו איתור פגיעויות חמורות 5.0 עובד המערך רשאי, במסגרת ביצוע תפקידיו, לפעול לאיתור פגיעויות חמורות (א) המוכרות למערך ולמתן התרעה עליהן. פעולות כאמור בסעיף קטן (א), ייעשו במטרה לאתר את הפגיעויות החמורות (ב) בארגונים, באופן שאינו כולל גישה למערכות מחשוב שיש הגבלה על הגישה של הציבור אליהן מרשת האינטרנט או מרשת ציבורית אחרת, ושאין לו השפעה שלילית על מתן שירות בידי ארגון שביחס אליו מאותרת הפגיעות החמורה, בהתמקדות במידע ,הטכנולוגי בהיקף המזערי הנדרש לשם זיהוי קיומה או העדרה של פגיעות חמורה בהימנעות ככל האפשר מחשיפה מידע אישי, ובלא איסוף מידע אישי. הסתייעות במומחה חיצוני 5.1 לשם הפעלת סמכויות עובד מוסמך מגזרי או עובד מוסמך במערך לפי חוק זה, וכן (א) עובד מוסמך), רשאי עובד- 5 (בסעיף זה0 או49 לשם הפעלת סמכויות עובד לפי סעיפים מוסמך להסתייע באדם שאינו עובד המדינה ושבידו אישור שניתן לו לפי הוראות סעיף קטן מומחה חיצוני) בעניינים שנדרשים לגביהם ניסיון, ידע או אמצעים ייחודיים.- (ד) (בחוק זה מומחה חיצוני יפעל מטעמו של עובד מוסמך בהתאם להנחייתו ולהוראותיו (ב) ובפיקוחו; מומחה חיצוני לא יפעיל סמכות הכרוכה בהפעלה של שיקול הדעת שניתן לפי דין לעובד מוסמך. ,מומחה חיצוני רשאי לדרוש מכל אדם הנוגע בדבר למסור לו כל ידיעה או מסמך (ג) ובלבד שכל דרישה תאושר מראש על ידי העובד המוסמך. תקיפות סייבר רבות כנגד ארגונים מתבצעות50 סעיף ,תוך ניצול פגיעויות באותם ארגונים. לפיכך מוצע לעגן בסעיף מוצע זה את הפעילות שמבצע מערך הסייבר הלאומי בהקשר זה, בהתאם לשיקול דעתו, לרבות ,בשים לב למשאבים ולאמצעים העומדים לרשותו לשם כך ולהסמיך את עובד המערך, במסגרת ביצוע תפקידיו, לפעול לאיתור פגיעויות חמורות המוכרות למערך באמצעות אינדיקציה טכנולוגית המאפשרת זיהוי פגיעויות ברשתות ובמערכות, ומתן התרעה עליהן, ובכך להעלות את ההגנה של ארגונים במרחב הסייבר הלאומי. בהקשר זה, מוצע לקבוע שפעילות עובד המערך לאיתור פגיעויות כאמור, תתבצע במטרה לאתר את הפגיעויות בארגונים, באופן שאינו כולל גישה למערכות מחשוב שיש הגבלה על הגישה של הציבור אליהן מרשת האינטרנט או מרשת ציבורית אחרת, ואשר אין לו השפעה שלילית על מתן שירות בידי ארגון שביחס אליו מאותרת הפגיעות החמורה, ותוך התמקדות במידע הטכנולוגי בהיקף המזערי הנדרש לשם זיהוי קיומה או העדרה של הפגיעות החמורה. ,פעילות זו מטבעה ממוקדת כאמור במידע טכנולוגי דוגמת סוג המערכת וגרסתה, אך למען הסר ספק, מוצע להדגיש בסעיף מוצע זה כי הפעילות תבוצע תוך הימנעות ,ככל האפשר מחשיפה למידע אישי ובלא איסוף מידע אישי לרבות אחסון, העתקה, העברה או מסירה של מידע אישי. ) לסעיף קטן (א51 סעיף מוצע לקבוע שלצורך הפעלת סמכות עובד ,מוסמך מגזרי או עובד מוסמך במערך לפי החוק המוצע , וכן לשם הפעלת22– ו21 לרבות כפי שהוחלו בסעיפים 5 לחוק המוצע (בדברי0 או49 סמכות עובד לפי סעיפים עובד מוסמך), בעניינים שנדרשים- ההסבר לסעיף זה לגביהם ניסיון, ידע או אמצעים ייחודיים, יוכל עובד מוסמך להסתייע באדם שאינו עובד מדינה ושבידו אישור שניתן לו מומחה חיצוני).- לפי הוראות סעיף קטן (ד) המוצע (להלן )לסעיף קטן (ב כדי להבטיח שגם כאשר סמכויות מופעלות על ידי מומחה חיצוני כאמור, יחולו כלל המגבלות, האיזונים והבלמים הנדרשים, מוצע לקבוע שמומחה חיצוני יפעל מטעמו של עובד מוסמך בהתאם להנחייתו ולהוראותיו ושהעובד המוסמך יפקח על ביצוע הפעולות על ידי המומחה החיצוני. עוד מוצע להבהיר, ששיקול הדעת שניתן לפי דין לעובד מוסמך לא יופעל על ידי המומחה החיצוני. )לסעיף קטן (ג מוצע לקבוע שמומחה חיצוני יהיה רשאי לדרוש מכל אדם הנוגע בדבר למסור לו כל ידיעה או מסמך, ובלבד שכל דרישה תאושר מראש על ידי העובד המוסמך. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1382 מומחה חיצוני רשאי, לשם סיוע לעובד מוסמך מגזרי בהפעלת סמכותו לפי (ד) , להיכנס למקום גם בלא נוכחות של העובד המוסמך המגזרי, ובלבד שהמקום24 סעיף אינו מקום המשמש למגורים, ושניתנה הסכמה בכתב של מחזיק המקום לכניסת המומחה החיצוני למקום, לאחר שניתן למחזיק המקום הסבר על מטרת הכניסה למקום וכן על זכותו לסרב לכניסת המומחה החיצוני למטרה כאמור או לחזור בו מהסכמתו. ) הגורם המאשר- מנהל בכיר ברשות מוסמכת או מנהל בכיר במערך (בסעיף זה (ה) :רשאי לתת למי שמתקיימים בו כל אלה אישור לשמש מומחה חיצוני ;הוא בעל ניסיון, ידע ומומחיות המתאימים לתפקידו )1( הוא לא הורשע בעבירה שמפאת מהותה, חומרתה או נסיבותיה הוא אינו )2( ראוי לשמש מומחה חיצוני ולא הוגש נגדו כתב אישום בעבירה כאמור. )(ו לא ימונה למומחה חיצוני ולא יכהן כמומחה חיצוני מי שבשל כהונתו יימצא )1( באופן תדיר במצב של ניגוד עניינים. מומחה חיצוני לא יטפל במסגרת תפקידו בנושא שהטיפול בו יגרום לו )2( להימצא במצב של ניגוד עניינים. נודע למומחה חיצוני כי הוא עלול להימצא במצב של ניגוד עניינים כאמור )3( ), יודיע על כך בהקדם לגורם המאשר.2( ) או1( בפסקאות הרואה את עצמו נפגע מפעולה של מומחה חיצוני, רשאי לפנות בתלונה מנומקת (ז) 45 בכתב, לגורם המאשר; הגורם המאשר יבחן את התלונה וישיב לפונה, בכתב, בתוך ימים; הגורם המאשר יעביר העתק מתשובתו למומחה החיצוני. דינו של מומחה חיצוני כדין עובדי המדינה לעניין ההוראות הנוגעות לעובדי (ח) .12‏1979-הציבור בחוק העונשין, וההוראות בחוק שירות הציבור (מתנות), התש"ם מגבלות על עיסוקיו של המומחה החיצוני לאחר סיום ההתקשרות עימו ייקבעו (ט) בחוזה ההתקשרות עימו, ובכלל זה הוראות לעניין פרק הזמן שבו לא יעבוד המומחה החיצוני אצל גוף שמתחרה בגוף שטיפל בעניינו כמומחה חיצוני ולא ייתן שירות לגוף כאמור או יקבל זכות או טובת הנאה ממנו. )לסעיף קטן (ד מוצע לקבוע שמומחה חיצוני יהיה רשאי, לשם סיוע , המוצע24 לעובד מוסמך מגזרי בהפעלת סמכותו לפי סעיף ,להיכנס למקום גם בלא נוכחות של העובד המוסמך המגזרי ובלבד שהמקום אינו משמש למגורים ושניתנה הסכמה ,בכתב של מחזיק המקום לכניסת המומחה החיצוני למקום לאחר שניתן לו הסבר על אודות מטרת הכניסה ועל אודות זכותו לסרב לכניסת המומחה למטרה כאמור או על אודות זכותו לחזור בו מהסכמתו. יודגש כי אין באמור כדי לגרוע מהאפשרות של המומחה החיצוני להתלוות לעובד מוסמך. )לסעיף קטן (ה מוצע לקבוע את התנאים למתן אישור לשמש מומחה חיצוני. על פי המוצע מנהל בכיר ברשות מוסמכת או מנהל ) הגורם המאשר- בכיר במערך, לפי העניין (בסעיף מוצע זה יוכלו לתת אישור כאמור רק למי שהוא בעל ניסיון, ידע ומומחיות המתאימים לתפקיד, ושלא הורשע בעבירה שמפאת מהותה, חומרתה או נסיבותיה הוא אינו ראוי לשמש מומחה חיצוני ולא הוגש נגדו כתב אישום בעבירה כאמור. )לסעיף קטן (ו מוצע לקבוע תנאים שיבטיחו שהמומחה החיצוני לא יהיה מצוי בניגוד עניינים. )לסעיף קטן (ז מוצע לקבוע שהרואה את עצמו נפגע מפעולת מומחה חיצוני יהיה רשאי לפנות בתלונה מנומקת בכתב לגורם המאשר. כמו כן, מוצע לקבוע הסדר לעניין אופן בחינת התלונה בידי הגורם המאשר. )לסעיף קטן (ח מוצע לקבוע שדינו של המומחה החיצוני כדין עובדי מדינה לעניין ההוראות הנוגעות לעובדי הציבור ,)בחוק העונשין וההוראות בחוק שירות הציבור (מתנות .1979-התש"ם .2 'ס"ח התש"ם, עמ 12 ד ב ר י ה ס ב ר 1383 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו - בסעיף זה (י) , בן זוג, הורה, הורה הורה, בן או בת ובני זוגם, אח או אחות וילדיהם- ""בן משפחה ;)חם, חמות, נכד או נכדה, לרבות קרוב כאמור שהוא שלוב (חורג ;13‏1968- כהגדרתו בחוק ניירות ערך, התשכ"ח- ""בעל עניין לרבות קבלת החלטה, העלאת נושא לדיון, נוכחות בדיון, השתתפות בדיון- ""טיפול ;או בהצבעה, או עיסוק בנושא מחוץ לדיון ניגוד עניינים בין מילוי תפקידו לבין עניין אישי- "ניגוד עניינים" של מומחה חיצוני ;או תפקיד אחר, שלו או של קרובו : כל אחד מאלה- ""קרוב ;בן משפחה של מומחה חיצוני )1( ;אדם שלמומחה החיצוני יש עניין במצבו הכלכלי )2( ) הם בעלי2( תאגיד שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה )3( ;עניין בו ) הם מנהלים או2( גוף שמומחה חיצוני, בן משפחתו או אדם כאמור בפסקה )4( עובדים אחראים בו. סייג לתחולת חובות ולהפעלת סמכויות לפי החוק 5.2 )(א , המנוי בתוספת1 ) להגדרה מגזר שבסעיף1( ארגון חיוני ממגזר כאמור בפסקה )1( מגזר הכלול בתוספת השביעית), רשאי להגיש למנהל בכיר- השביעית (בסעיף זה , תצהיר1 ) להגדרה "רשות מוסמכת" שבסעיף1( ברשות מוסמכת כאמור בפסקה בנוסח שפרסם מנהל הרשות המוסמכת באתר האינטרנט של הרשות, בדבר ביצוע פעולות להגנת סייבר בפעילות הליבה של הארגון בהתאם לאמור בטור א' לתוספת בצירוף- השביעית לעניין אותו מגזר, ואם בטור ב' לתוספת מנוי לצידו מסמך המסמך; הגיש ארגון חיוני תצהיר כאמור, לא יחולו עליו החובות החלות על ארגון , ולא יופעלו לגביו סמכויות129(א) ו־ חיוני לפי חוק זה למעט החובות לפי סעיפים בקשר לאותן חובות, לתקופה של שנתיים מיום הגשת התצהיר, ורשאי הוא לשוב ולהגיש תצהיר כאמור. )לסעיף קטן (ט מוצע לקבוע שמגבלות על עיסוקיו של המומחה החיצוני לאחר סיום ההתקשרות עימו ייקבעו במידת הצורך, בחוזה ההתקשרות עמו, ובכלל זה הוראות לעניין פרק הזמן שבו לא יעבוד המומחה חיצוני אצל גוף המתחרה בגוף שטיפל בעניינו כמומחה חיצוני ולא ייתן שירות לגוף כאמור או יקבל זכות או טובת הנאה ממנו. יודגש כי הסעיף המוצע חל על הסתייעות של עובד במומחה חיצוני לשירות המדינה, ואינו חל, ואף לא נועד למנוע, הסתייעות בין גופי המדינה השונים. כמו כן, לפי הסעיף המוצע, מומחה חיצוני הוא אדם שאינו עובד המדינה. המונח "עובד המדינה" מוגדר לפקודת הנזיקין [נוסח7 בחוק המוצע כהגדרתו בסעיף ,. הגדרה זו מתייחסת, בין השאר1968-חדש], התשכ"ח לכל אדם הממלא מטעם המדינה תפקיד ציבורי על פי חיקוק, לרבות המשרתים בצבא ההגנה לישראל, במשטרת ישראל, בשירות בתי הסוהר ובארגוני הביטחון האחרים של המדינה. בהתאמה, הסתייעות בעובדי המדינה אינה כפופה להוראות הסעיף המוצע ואינה נשללת מכוחו. יובהר כי גם לאחר כניסת החוק לתוקף יוכלו גופי המדינה להעניק זה לזה סיוע הדדי בהפעלת סמכויותיהם לעניין הגנת סייבר לפי הנדרש ובכפוף לכל דין, ובאשר לצה"ל, גם לפי פקודות הצבא. לשם יצירת תמריץ להשקעה מתמשכת52 סעיף בהגנת סייבר בהתאם לסטנדרט בין־לאומי ותוספת ומקצועי גבוה ולהפחתת נטל האסדרה על שביעית ,ארגונים המוכיחים יכולת הגנת סייבר גבוהה מוצע לעגן בחוק תשתית שתאפשר לגורם המאסדר להפעיל, במקרים המתאימים במגזר, מנגנון של פטור ממרבית החובות הקבועות בחוק המוצע, שיינתן לארגונים שיוכיחו השקעה מתמשכת בהגנת סייבר כאמור, וזאת, בין .234 'ס"ח התשכ"ח, עמ 13 ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1384 ) יחולו על ארגון חיוני למערכת הביטחון הנמנה עם מגזר1( הוראות פסקה )2( הכלול בתוספת השביעית, בשינויים המחויבים, ובשינוי זה: הסמכות הנתונה למנהל בכיר ברשות מוסמכת ולמנהל הרשות המוסמכת תהיה נתונה למנהל בכיר במלמ"ב ולראש מלמ"ב, בהתאמה. ספק שירותים דיגיטליים ושירותי אחסון שאינו ארגון חיוני, רשאי להגיש למנהל (ב) בכיר ברשות מוסמכת תצהיר בנוסח שפרסם ראש הרשות המוסמכת באתר האינטרנט של הרשות, בדבר יישום הנחיות הגנת סייבר בפעילות הליבה של הארגון, ואם מתקיים - ) לגבי תקיפה נגד הספק או באמצעותו2()(א16 כפי שהוחל בסעיף14 האמור בסעיף בשירותים שנגדם בוצעה התקיפה, הכול בהתאם לאמור בטור א' לתוספת השביעית לעניין מגזר השירותים הדיגיטליים ושירותי האחסון, ואם בטור ב' לצידו מנוי מסמך , כפי14 בצירוף המסמך; הגיש הספק תצהיר כאמור, לא יחולו עליו החובות לפי סעיף- ), ולא יופעלו לגביו סמכויות בקשר לאותן חובות, למשך2()(א16 שהוחל לגביו בסעיף שנתיים מיום ההגשה, ורשאי הוא לשוב ולהגיש תצהיר כאמור. גורם מאסדר, לאחר התייעצות עם ראש מערך הסייבר הלאומי, רשאי להוסיף (ג) ,לטור א' לתוספת השביעית מגזר שהוא אמון על אסדרת תחום הגנת הסייבר בו, והוראות אם מצא כי ביצוע פעולות להגנת סייבר בהתאם לאותן הוראות בפעילות הליבה של ארגונים חיוניים במגזר, יש בו כדי להבטיח רמת הגנת סייבר מספקת לשם החלת הוראות סעיף זה על ארגונים חיוניים כאמור, בשים לב למאפייני הפעילות הייחודיים להם, ורשאי הוא, לאחר התייעצות כאמור, להוסיף מסמך לטור ב' לתוספת השביעית. השאר, לאחר בחינת המאפיינים הייחודיים של ארגונים במגזר, אופי הפעילות בו, סוגי הארגונים, סיכוני הסייבר ורמת הבשלות למנגנון כאמור במגזר. )לסעיף קטן (א מוצע לאפשר לארגון חיוני ממגזר המנוי בתוספת הראשונה לחוק המוצע, אשר מנוי גם בתוספת השביעית לחוק המוצע, להגיש למנהל בכיר ברשות מוסמכת תצהיר בדבר ביצוע פעולות להגנת סייבר בפעילות הליבה של הארגון, בהתאם לאמור בטור א' לתוספת השביעית לעניין המגזר שהוא נמנה עימו, ואם בטור ב' לאותה תוספת מנוי בצירוף המסמך. ארגון חיוני שהגיש תצהיר- בצידו מסמך כאמור, לא יחולו עליו החובות החלות על ארגון חיוני לפי החוק המוצע למעט החובה הכללית לעמוד ברמת הגנה 9(א) לחוק המוצע והחובה לדווח על תקיפת לפי סעיף לחוק המוצע, ולא יופעלו12 סייבר משמעותית לפי סעיף לגביו סמכויות בקשר לאותן חובות כל עוד התצהיר בתוקף. התצהיר יוגש בנוסח שפרסם מנהל הרשות המוסמכת באתר האינטרנט של הרשות, ויעמוד בתוקפו לתקופה של שנתיים החל מיום מסירתו, כל עוד לא הוגש תצהיר נוסף. על פי המוצע, הוראות אלה יחולו גם על ארגון חיוני למערכת הביטחון, אם הוא נמנה עם מגזר הכלול בתוספת השביעית, וזאת בשינויים המחויבים וכן בשינוי זה: הסמכות הנתונה למנהל בכיר ברשות מוסמכת ולמנהל הרשות המוסמכת תהיה נתונה למנהל בכיר במלמ"ב ולראש מלמ"ב, בהתאמה. )לסעיף קטן (ב מוצע לקבוע כי גם ספק שירותים דיגיטליים ושירותי אחסון, שאינו ארגון חיוני, יוכל להגיש למנהל בכיר ברשות מוסמכת תצהיר כאמור לעיל לעניין המגזר שבו הוא פועל (מגזר השירותים הדיגיטליים ושירותי האחסון), ואם נקבע )2()(א16 לחוק המוצע כפי שהוחל בסעיף14 לפי סעיף לאותו חוק, שמתרחשת או שיש חשש ממשי שעומדת - להתרחש תקיפת סייבר חמורה נגד הספק או באמצעותו תצהיר כאמור בהתייחס לשירותים שנגדם בוצעה התקיפה. הגיש הספק תצהיר כאמור, לא יחולו עליו הוראות סעיף לחוק המוצע, כפי שהוחל לגביו כאמור, כלומר לא14 יינתנו לו הוראות להתמודדות עם תקיפה חמורה לפי ,אותו סעיף, ולא יופעלו לגביו סמכויות בקשר לאותן חובות כל עוד התצהיר בתוקף. התצהיר יעמוד בתוקפו לתקופה של שנתיים החל מיום מסירת התצהיר, כל עוד לא הוגש תצהיר נוסף. יובהר שהארגון המצהיר נדרש לעמוד בהצהרתו למשך כל תקופת תוקף התצהיר. כמו כן, הגשת תצהיר לא תעצור בדיעבד הליכי פיקוח או הליכים להטלת עיצום כספי, לפי פרקים ו' או ז' לחוק המוצע, שהחלו טרם הגשת התצהיר על ידי הארגון. בשלב זה מוצע לקבוע בתוספת השביעית, ביחס למגזר השירותים הדיגיטליים ושירותי האחסון, תקנים או שילובים של תקנים, אשר עמידה בהם מקנה הגנת סייבר ברמה הגבוהה הנדרשת לצורך מתן הפטור המוצע ,מתחולת הוראות החוק המוצע. נוסף על כך, מוצע להקנות ד ב ר י ה ס ב ר 1385הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו קבלה אגבית של מידע מתקשורת בין מחשבים 5.3 קבלת מידע מתקשורת בין מחשבים אגב פעולה להגנת סייבר בחומר מחשב לפי חוק זה, לא תיחשב להאזנת סתר לפי חוק האזנת סתר. דיווח 5.4 ראש מערך הסייבר הלאומי יציג לוועדת השרים לענייני ביטחון לאומי ולוועדת (א) החוץ והביטחון של הכנסת, אחת לשנה, דוח על רמת הגנת הסייבר הלאומית ועל הפעולות שנקט המערך לחיזוק החוסן הלאומי בהיבטי הגנת הסייבר ולקידום ההתמודדות עם תקיפות סייבר, בשנה החולפת. מערך הסייבר הלאומי ידווח ליועץ המשפטי לממשלה ולוועדת החוץ והביטחון (ב) :של הכנסת, אחת לשנה, על כל אלה מספר הארגונים החיוניים שגורם מאסדר קבע שיראו אותם לעניין חוק זה )1( ,)1()(ב8 כארגון חיוני אף על פי שלא מתקיימים בהם התנאים לכך, כאמור בסעיף או מספר הארגונים שגורם מאסדר קבע שלא יראו אותם כארגון חיוני אף על פי ), בחלוקה למגזרים, והנימוק2()(ב8 שהתקיימו לגביהם התנאים לכך, כאמור בסעיף ;לקביעה כאמור - , ולגבי כל הוראה שניתנה כאמור11 מספר ההוראות שניתנו לפי סעיף )2( מהות ההוראה שניתנה וסוג הארגון שלו ניתנה. מלמ"ב ידווח ליועץ המשפטי לממשלה ולוועדת החוץ והביטחון של הכנסת, אחת (ג) , ומהותה של כל21 כפי שהוחל בסעיף11 לשנה, על מספר ההוראות שניתנו לפי סעיף הוראה שניתנה כאמור. דיווחים לפי סעיף זה יהיו חסויים ופרסומם אסור. (ד) בסעיף קטן (ג), סמכות לגורם מאסדר, לאחר התייעצות עם ראש מערך הסייבר הלאומי, להוסיף לתוספת השביעית מגזר המנוי בתוספת הראשונה (ואינו מנוי עדיין בתוספת השביעית), וכן הוראות לעניין אופן ביצוע פעולות להגנת סייבר (ובכלל זה תקנים), ומסמך, אם מצא כי יש בביצוע פעולות להגנת סייבר בפעילות הליבה של ארגונים חיוניים במגזר, בהתאם לאותן הוראות, כדי להבטיח רמת הגנת סייבר מספקת, בשים לב למאפייני הפעילות הייחודיים של ארגונים באותו מגזר. מוצע להבהיר שקבלת מידע אגבית מתקשורת53 סעיף בין מחשבים אגב פעולה להגנת סייבר בחומר מחשב לפי חוק זה, לא תיחשב להאזנת סתר לפי חוק האזנת .1979-סתר, התשל"ט מוצע לקבוע בסעיף קטן (א) שראש מערך הסייבר54 סעיף הלאומי יציג לוועדת השרים לענייני ביטחון ,לאומי ולוועדת החוץ והביטחון של הכנסת, אחת לשנה דוח על רמת הגנת הסייבר הלאומית ועל הפעולות שנקט המערך לחיזוק החוסן הלאומי בהיבטי הגנת הסייבר ולקידום ההתמודדות עם תקיפות סייבר בשנה החולפת. כדי להבטיח פיקוח פנים־ממשלתי ופיקוח פרלמנטרי על אופן יישום חוק זה, מוצע לקבוע בסעיף קטן (ב), שמערך הסייבר הלאומי ידווח לוועדת החוץ והביטחון של הכנסת וליועץ המשפטי לממשלה, אחת לשנה, על מספר הארגונים החיוניים שגורם מאסדר קבע שיראו אותם לעניין חוק זה ,כארגון חיוני אף על פי שלא מתקיימים בהם התנאים לכך ) לחוק המוצע, או מספר הארגונים1()(ב8 כאמור בסעיף שגורם מאסדר קבע שלא יראו אותם כארגון חיוני אף על פי שהתקיימו לגביהם התנאים לכך, כאמור בסעיף ) לחוק המוצע, בחלוקה למגזרים, והנימוק לקביעה2()(ב8 כאמור. דיווח זה יגובש על בסיס הנתונים שיועברו מהרשות המוסמכת לפי הוראות החוק. נוסף על כך, מוצע כי מערך הסייבר הלאומי ידווח על לחוק המוצע ולגבי11 מספר ההוראות שניתנו לפי סעיף מהות ההוראה וסוג הארגון- כל הוראה שניתנה כאמור שלו ניתנה. לחוק המוצע11 עוד מוצע כי דיווח דומה לעניין סעיף לחוק21 שהופעל בידי ראש מלמ"ב בהתאם להוראות סעיף המוצע, יימסר על ידי מלמ"ב. עוד מוצע לקבוע שהדיווחים לפי סעיף זה יהיו חסויים ופרסומם אסור. ד ב ר י ה ס ב ר הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו1386 פעולות להגנת סייבר לפי חוזה 55. (א) לחוק חובת2 אין בהוראות חוק זה כדי לגרוע מהאפשרות של גוף המנוי בסעיף , או של רשות מקומית, לבצע או לדרוש מאחר לבצע, פעולות14‏1992-המכרזים, התשנ"ב שעניינן הגנת סייבר מכוח חוזה כמשמעותו באותו סעיף, לרבות פעולות לשם בקרה על קיום החוזה, ובכלל זה דרישה לקבלת מידע ומסמכים וכניסה למקום. שמירת דינים 5.6 הוראות חוק זה באות להוסיף על הוראות כל דין אחר, ובכלל זה חוק שירות (א) , ולא לגרוע מהן.15‏2002-הביטחון הכללי, התשס"ב בלי לגרוע מהוראות סעיף קטן (א), הוראות חוק זה באות להוסיף על כל הוראה (ב) בעניין הנוגע להגנת סייבר שנקבעה בהחלטת הממשלה או בהוראת מינהל, ואולם במקרה של סתירה יגברו הוראות חוק זה. תיקון התוספת הראשונה והתוספת השנייה 5.7 ,ראש הממשלה, לאחר שהובאה לפניו המלצת ראש מערך הסייבר הלאומי (א) ,בהתייעצות עם שר האוצר ובאישור ועדת החוץ והביטחון של הכנסת, רשאי, בצו - לשנות את התוספת הראשונה, ובלבד ששינוי כאמור של פרט המנוי בה ייעשה גם בהתייעצות עם הגורם המאסדר )1( ;המנוי באותו פרט ששינוי כאמור שעניינו הוספת פרט ובכלל זה תחום פעילות במשק, ייעשה )2( גם בהתייעצות עם הגורם האמון על האסדרה של אותו תחום. ראש הממשלה רשאי לשנות את התוספת השנייה, בצו, באופן האמור בסעיף (ב) 'קטן (א) רישה וכן בהתייעצות עם השר הממונה על הרשות המוסמכת המנויה בטור ב לאותה תוספת. גופים שונים, ציבוריים ופרטיים, עורכים55 סעיף התקשרויות הכוללות, בין השאר, הוראות בנושא הגנת סייבר. התקשרויות אלה כפופות לדיני החוזים הכלליים ולהוראות כל דין. בשים לב לכך שהחוק המוצע ,מקנה לגופים שלטוניים מסוימים סמכויות מפורשות לבצע ,או לדרוש מאחר לבצע, פעולות שעניינן הגנת סייבר מוצע להבהיר, למען הסר ספק, כי החוק המוצע אינו גורע מהאפשרות של גופים המחזיקים בסמכויות שלטוניות לבצע, או לדרוש מאחר לבצע, גם פעולות שעניינן הגנת סייבר מכוח חוזים שאותם גופים עורכים. הכוונה לחוזים 1992-(א) לחוק חובת המכרזים, התשנ"ב2 כאמור בסעיף חוזה לביצוע עסקה בטובין או במקרקעין, או לביצוע- עבודה, או לרכישת שירותים. הבהרה זו מתייחסת לגופים המפעילים סמכויות שלטוניות וכפופים לעיקרון חוקיות המינהל, שלפיו רשות שלטונית רשאית להפעיל סמכויות שלטוניות רק מכוח הסמכה מפורשת בדין. עוד יובהר, כי אין בחוק זה כדי לגרוע מהאפשרות של כל גורם לקבוע בהסכם חובה לעמידה ברמת הגנת סייבר מחמירה מזו הקבועה בחוק המוצע. לצד זאת, כמובן שבמקרה של סתירה בין הדרישות שבחוק המוצע לדרישות שבהסכם (למשל, כאשר הסכם )יתיימר לקבוע הוראות מקילות יותר מאלה הקבועות בחוק הוראות החוק המוצע יגברו.- החוק המוצע נועד לשפר את הגנת הסייבר 56 סעיף הלאומית, ולשפר את רמת החוסן הלאומית בסייבר של ישראל, בין השאר, באמצעות יצירת רמת הגנה בסיסית אחידה בארגונים חיוניים במגזרים חיוניים שונים. במקביל, אין כוונה לפגוע בהסדרים קיימים הנוגעים ,לתחום הגנת הסייבר אלא רק להוסיף עליהם. בהתאם מוצע להבהיר שהוראות החוק המוצע באות להוסיף על הוראות כל דין אחר, ובכלל זה על הוראות חוק שירות הביטחון הכללי ולא לגרוע מהן. בכלל זאת, אין בחוק זה או בהוראות מכוחו כדי לגרוע מחובת ארגון להבטיח בהתאם לכל דין רמת הגנת סייבר ראויה לפעילות הארגון. עוד מוצע להבהיר שהוראות החוק המוצע באות להוסיף על כל הוראה בעניין הנוגע להגנת סייבר שנקבעה 2443 בהחלטות ממשלה, ובכלל זאת החלטות ממשלה , והוראת מינהל, ואולם במקרה של סתירה יגברו2444–ו הוראות החוק המוצע. מתוך הבנה שאיומים במרחב הסייבר והסיכונים57 סעיף בעבור המגזרים השונים משתנים, ומתוך הרצון לשמר גמישות והתאמה לצרכים במקרים הנדרשים, מוצע לקבוע שראש הממשלה, לאחר שהובאה לפניו המלצת ,ראש מערך הסייבר הלאומי, וכן בהיוועצות עם שר האוצר ,ובאישור ועדת החוץ והביטחון של הכנסת, יהיה רשאי בצו, לשנות את התוספת הראשונה והתוספת השנייה לחוק המוצע, היינו לשנות את המגזרים הנכללים בתוספת הראשונה, הרשות המוסמכת בכל מגזר, מנהל הרשות .114 'ס"ח התשנ"ב, עמ 14 .179 'ס"ח התשס"ב, עמ 15 ד ב ר י ה ס ב ר 1387 הצתוע חוקהצ91 - הלשממה קוח תועהועצהצע - הלשממה קוח תו תקנות 5.8ראש הממשלה ממונה על ביצועו של חוק זה, והוא רשאי להתקין תקנות לביצועו. תיקון חוק בתי משפט לעניינים מינהליים 95.:, בתוספת הראשונה בסופה יבוא16‏2000-בחוק בתי משפט לענינים מינהליים, התש"ס , למעט החלטת2026-.  החלטה לפי חוק להגנת הסייבר הלאומית, התשפ"ו69" "הממשלה. תיקון חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון )(הוראת שעה .60 בחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי , במקום "עד יום כ"ג בשבט התשפ"ז12 , בסעיף17‏2023-האחסון (הוראת שעה), התשפ"ד ,(ב) לחוק הגנת הסייבר הלאומית61 )" יבוא "עד המועד האמור בסעיף2027 בינואר31( ".2026-התשפ"ו תחולה ותחילה .61 חודשים מיום פרסומו.3 תחילתו של חוק זה (א) 12 ,18 ו־16 ,14 ,12 ,)9(ב) עד (ו על אף האמור בסעיף קטן (א), תחילתם של סעיפים (ב) חודשים מיום פרסומו של חוק זה. המוסמכת והגורם המאסדר, או להוסיף על האמור בה. מוצע לקבוע כי שינוי כאמור ביחס לפרט המנוי בתוספת הראשונה ייעשה גם בהתייעצות עם הגורם המאסדר המנוי באותו פרט, וכן כי שינוי כאמור שעניינו הוספת פרט לתוספת הראשונה, ובכלל זה תחום פעילות במשק, ייעשה גם בהתייעצות עם הגורם האמון על האסדרה של אותו התחום. כמו כן מוצע כי שינוי התוספת השנייה, יעשה גם בהתייעצות עם השר הממונה על הרשות המוסמכת המנויה באותה תוספת. מוצע לקבוע שראש הממשלה, השר האמון על58 סעיף מערך הסייבר הלאומי, ממונה על ביצועו של חוק זה, והוא רשאי להתקין תקנות לביצועו. כדי לאפשר ביקורת שיפוטית ונגישות59 סעיף לערכאות ביחס להחלטות לפי החוק, מוצע לתקן את התוספת הראשונה לחוק בתי משפט לעניינים , ולהסמיך את בית המשפט2000-מינהליים, התש"ס לעניינים מינהליים לדון בעתירות בעניין החלטות לפי החוק המוצע, למעט החלטות ממשלה. חוק התמודדות עם תקיפות סייבר חמורות במגזר60 סעיף השירותים הדיגיטליים ושירותי האחסון (הוראת , חוקק כהוראת שעה כדי לתת מענה2023-שעה), התשפ"ד לצורך הדחוף להתמודדות לאומית עם תקיפות סייבר במגזר האמור. הוראות החוק המוצע מבקשות לקבוע סדורות לגבי הגנת הסייבר, לרבות ביחס למגזר השירותים הדיגיטליים ושירותי האחסון. בשים לב לאמור, מוצע לקבוע כי הוראת השעה תעמוד בתוקפה עד למועד הכניסה לתוקף של כלל הוראות החוק הרלוונטיות לאותו מגזר. , במטרה לתת למשק, ובייחוד לארגונים חיוניים61 סעיף פרק זמן שיאפשר להם להיערך ולבצע את ההתאמות הנדרשות בארגון לצורך עמידה בהוראות החוק המוצע, מוצע לקבוע לו תחילה נדחית. ככלל, מוצע לקבוע חודשים לאחר יום פרסומו3 שהחוק המוצע ייכנס לתוקף (סעיף קטן (א)). עם זאת, לעניין הוראות מסוימות מוצעת דחייה נוספת של הכניסה לתוקף, במקביל לעמידה בתוקף של הוראת השעה. כך, על פי המוצע, הוראות לעניין החובה )9(ב) עד (ו לעמוד ברמת הגנת סייבר בסיסית לפי סעיף לחוק המוצע, חובת הדיווח על תקיפה משמעותית לפי לחוק המוצע, והאפשרות למתן הוראות לארגון12 סעיף חיוני או לספק שירותים דיגיטליים לפעול להתמודדות עם לחוק18– ו16 ,14 תקיפת סייבר חמורה בהתאם לסעיפים 22– ו21 המוצע, לרבות אותן הוראות כפי שהוחלו בסעיפים חודשים מיום12 לחוק המוצע, ייכנסו לתוקף רק לאחר פרסומו של החוק המוצע. 5.62 '; התשפ"ו, עמ190 'ס"ח התש"ס, עמ 16 .264 '; התשפ"ו, עמ410 'ס"ח התשפ"ד, עמ 17 ד ב ר י ה ס ב ר 1388 תוספת ראשונה )", ההגדרות "גורם מאסדר", "מגזר", "מנהל הרשות המוסמכת" ו"רשות מוסמכת1 (סעיף 'טור א תחום פעילות במשק 'טור ב רשות מוסמכת 'טור ג מנהל הרשות המוסמכת 'טור ד גורם מאסדר .  תקשורת1משרד התקשורת מנכ"ל משרד התקשורת שר התקשורת .  אנרגיה2משרד האנרגיה והתשתיות מנכ"ל משרד האנרגיה והתשתיות שר האנרגיה והתשתיות .  מים וביוב3 הרשות הממשלתית למים ולביוב מנהל הרשות הממשלתית למים ולביוב שר האנרגיה והתשתיות .  בריאות4משרד הבריאות מנכ"ל משרד הבריאות שר הבריאות 5.  כימיקלים, רעלים וחומרים מסוכנים המשרד להגנת הסביבה מנכ"ל המשרד להגנת הסביבה השר להגנת הסביבה .  תחבורה6 משרד התחבורה והבטיחות בדרכים מנכ"ל משרד התחבורה והבטיחות בדרכים שר התחבורה והבטיחות בדרכים .  הרשויות המקומיות7משרד הפנים מנכ"ל משרד הפנים שר הפנים .  מזון ואספקת מוצרים8 ושירותים חיוניים משרד הכלכלה והתעשייה מנכ"ל משרד הכלכלה והתעשייה שר הכלכלה והתעשייה 9.  שירותים דיגיטליים ושירותי אחסון מערך הסייבר הלאומי ראש מערך הסייבר הלאומי ראש הממשלה .  חקלאות10 משרד החקלאות וביטחון המזון מנכ"ל משרד החקלאות וביטחון המזון שר החקלאות וביטחון המזון תוספת שנייה )", ההגדרות "מגזר", "מנהל הרשות המוסמכת" ו"רשות מוסמכת1 (סעיף 'טור א תחום פעילות 'טור ב רשות מוסמכת 'טור ג מנהל הרשות המוסמכת ,.  פעילות משרדי ממשלה1 למעט פעילות הנוגעת למידע מסווג ולמעט פעילות משרד ראש הממשלה ומשרד החוץ ופעילות בתי חולים ממשלתיים; לעניין זה, "משרד "ראש הממשלה ומשרד החוץ למעט יחידות הסמך שלהם- מערך הדיגיטל הלאומי ראש מערך הדיגיטל הלאומי 1389 תוספת שלישית ))(א8 (סעיף 'טור א מגזר 'טור ב תת־מגזר 'טור ג התנאי .  תקשורת1 ,)הוא ספק מורשה כהגדרתו בחוק התקשורת (בזק ושידורים חוק התקשורת), שיש לו לכל הפחות- (בפרט זה181982-התשמ"ב כהגדרתו בחוק התקשורת- " מנויים; לעניין זה, "מנוי200,000 .  אנרגיה2)  חשמל1( :מתקיים לגביו אחד מאלה )  הוא ארגון שבבעלותו או בשליטתו הישירה או העקיפה1( מיתקנים, המשמשים לייצור חשמל, או אגירת חשמל בגודל חיבור ; ויותרAC מגה־ואט100 לרשת העולה על )  הוא ארגון המנהל או בעל יכולת ניהול מרכזי של מיתקנים2( 100 לייצור חשמל או אגירת חשמל, בסך חיבור לרשת העולה ויותר, שולט או בעל יכולת שליטה על פעילות במיתקניםMW AC כאמור ומבצע בקרה, או בעל יכולת לבצע בקרה על הפעילות )  גז טבעי2( ,הוא בעל רישיון חלוקה כהגדרתו בחוק משק הגז הטבעי 9 , או בעל רישיון ספק גז טבעי דחוס לפי סעיף192002-התשס"ב 201989-לחוק הגז (בטיחות ורישוי), התשמ"ט )  דלק וגפ"מ3( :מתקיים לגביו אחד מאלה, לפי העניין )  לעניין ארגון הפועל בתחום הגפ"מ – הוא ספק גז כהגדרתו1( , אשר רוכש מבתי212020-בחוק הגז הפחמימני המעובה, התשפ"א טונות או יותר או מייבא20,000 זיקוק גפ"מ בכמות שנתית של ;גפ"מ בכמות שנתית כאמור ארגון הרוכש בנזין, סולר- )  לעניין ארגון הפועל בתחום הדלק2( קוב או יותר200,000 וקרוסין במסופי דלק בכמות שנתית של .  מים וביוב3 :מתקיים לגביו אחד מאלה ,)  הוא חברה כהגדרתה בחוק תאגידי מים וביוב1( ;5 צרכנים00,000 , שיש לה מעל222001-התשס"א )  הוא מיתקן טיפול בשפכים שהיקף השפכים המטופלים בו2( ; מיליון מטרים מעוקבים בשנה100 עולה על )  הוא מיתקן התפלה שכמות המים המותפלים שהוא מפיק3( 5 מיליון מטרים מעוקבים בשנה0 עולה על .  בריאות4 :מתקיים לגביו אחד מאלה )  הוא בית חולים ציבורי כללי כהגדרתו בחוק התחשבנות1( ,)בין בתי חולים ציבוריים כלליים לקופות חולים (תקצוב לאומי ;232021-התשפ"ב ,)  הוא קופת חולים כהגדרתה בחוק ביטוח בריאות ממלכתי2( 241994-התשנ"ד .218 'ס"ח התשמ"ב, עמ 18 55. 'ס"ח התשס"ב, עמ 19 .108 'ס"ח התשמ"ט, עמ 20 .146 'ס"ח התשפ"א, עמ 21 .454 'ס"ח התשס"א, עמ 22 .20 'ס"ח התשפ"ב, עמ 23 .156 'ס"ח התשנ"ד, עמ 24 1390 'טור א מגזר 'טור ב תת־מגזר 'טור ג התנאי 5.  כימיקלים, רעלים וחומרים מסוכנים ,הוא מפעל חיוני, כהגדרתו בחוק שירות עבודה בשעת־חירום :, וכמו כן הוא אחד מאלה251967-התשכ"ז )  מפעל לטיפול, סילוק או השבה של פסולת מסוכנת לרבות1( .5 לתוספת השלישית לחוק החומרים1 קרקע מזוהמת, כאמור בפרט ;) התוספת השלישית- (בפרט זה261993-המסוכנים, התשנ"ג .54 )  מטמנה, למעט מטמנה לפסולת אינרטית כאמור בפרט2( ;לתוספת השלישית )  הוא עוסק בפעילות של אחסון זמני של פסולת מסוכנת לפני3( .57.5 ו־6 ,.54 ,.51 העברתה לטיפול או לסילוק כמפורט בפרטים 5.5 למעט אחסון זמני, לפני איסוף, באתר שבו נוצרה, כאמור בפרט לתוספת השלישית .  תחבורה6 )  תחבורה ציבורית1( יבשתית :מתקיים לגביו אחד מאלה מיליון14)  הוא מפעיל תחבורה ציבורית המסיע יותר מ־1( ; כלי רכב ציבוריים או יותר1,000 נוסעים בשנה או שבבעלותו ')  הוא בעל היתר להפעלת מסילת ברזל מקומית לפי סימן ה2( ;271972- לפקודת מסילות הברזל [נוסח חדש], התשל"ב1'בפרק ד ד16 )  הוא בעל היתר הפעלה של רכב עצמאי כהגדרתו בסעיף3( לפקודת התעבורה או מפעיל רכבל כהגדרתו בצו פיקוח על מחירי .282022-מצרכים ושירותים (דמי נסיעה ברכבת וברכבל), התשפ"ב )  תחבורה אווירית2( :מתקיים לגביו אחד מאלה )  הוא מפעיל אווירי שבידו רישיון הפעלה אווירית שניתן לפי1( ,)הפרק השלושה עשר לתקנות הטיס (הפעלת כלי טיס וכללי טיסה ;291981-התשמ"ב )  הוא מכון בדק הנותן שירותים למפעיל אווירי כאמור בפרט2( ;)משנה (א ,)  הוא בעל רישיון להפעלת יחידת נת"א כהגדרתה בחוק הטיס3( , הנותנת שירותי נת"א כהגדרתם באותו חוק לכלי302011-התשע"א טיס בלתי מאוישים )  תחבורה ימית3( :מתקיים לגביו אחד מאלה )  הוא מוביל לישראל וממנה בדרך הים סחורות שמשקלן1( לפחות ממשקל כלל המטענים שמובלים20% הכולל מהווה לישראל וממנה בדרך הים במהלך השנה הקלנדרית שקדמה ;למועד הבדיקה )  הוא חברת נמל או תאגיד מורשה כהגדרתם בחוק רשות2( 312004-הספנות והנמלים, התשס"ד .86 'ס"ח התשכ"ז, עמ 25 .28 'ס"ח התשנ"ג, עמ 26 .1588 'ק"ת התשע"ב, עמ 27 .2742 'ק"ת התשפ"ב, עמ 28 .354 'ק"ת התשפ"ה, עמ 29 .830 'ס"ח התשע"א, עמ 30 .456 'ס"ח התשס"ד, עמ 31 1391 'טור א מגזר 'טור ב תת־מגזר 'טור ג התנאי )  תשתיות לניהול4( תחבורה :מתקיים לגביו אחד מאלה )  הוא חברה ממשלתית או תאגיד שהורשו על ידי הממשלה1( לניהול דרך או רשת דרכים בין־עירוניות או תאגיד שקיבל זיכיון ;מהמדינה לניהול דרך או רשת דרכים בין־עירוניות )  הוא חברה ממשלתית שהוכרה כזרוע ביצוע של משרד2( ;התחבורה ,)  הוא מרכז ניהול תנועה מטרופוליני (ת"א, ירושלים, חיפה3( )ב"ש .  הרשויות7 המקומיות 9 תושבים רשומים או יותר0,000 רשות מקומית שלה .  מזון ואספקת8 מוצרים ושירותים חיוניים :מתקיים לגביו אחד מאלה )  הוא מחסן חירום ייעודי לאחסון מוצרי מזון חיוניים שקבעה1( ;הרשות העליונה למזון הפועלת במינהל החירום במשרד הכלכלה )  הוא תאגיד שהוא ספק גדול כהגדרתו בחוק קידום התחרות2( חוק קידום- (להלן322014-בענפי המזון והפארם, התשע"ד התחרות בענפי המזון), ואשר נתח השוק שלו במכירת מוצרי מזון ;4% לצריכה ביתית בישראל שווה או עולה על )  הוא תאגיד שהוא קמעונאי גדול כהגדרתו בחוק קידום3( התחרות בענפי המזון, אשר נתח השוק שלו בקמעונאות מזון 4% לצרכן בישראל שווה או עולה על 9.  שירותים דיגיטליים ושירותי אחסון הוא ספק שירותים דיגיטליים או שירותי אחסון, שמתקיים לגביו :אחד מאלה :)  מתקיימים לגביו כל אלה1( (א)  הוא מעמיד לרשות אחרים מיתקן רשת המאפשר חיבור גומלין בין שתי רשתות אינטרנט עצמאיות או יותר, לשם העברת תעבורת אינטרנט ביניהן (ספק נקודת חילוף אינטרנט ;))IXP( (ב)  הוקנתה לו סיומת של כתובת אינטרנט והוא אחראי )Domains( לניהול אותה סיומת, לרבות רישום שמות מתחם ;)TLD והפעלה טכנית של אותה סיומת (מנהל מרשם ) לציבורDomains( (ג)  הוא מוסמך להחכיר שמות מתחם הרחב ולנהל את רישומם מול המרשם (רשם שמות מתחם ).Domain Registrar( המספק שירותי ניתוב שמות מתחםDNS (ד)  הוא ספק לרשת האינטרנט, ובכלל זה שירותי ניתוב רקורסיביים ) או שירותי ניתוב שמותRecursive DNS( למשתמשים ,) בעבור צדדים שלישייםAuthoritative DNS( סמכותיים Root( והוא אינו מפעיל שרתי שמות מתחם שורשיים ;)Domains ) שמאפשרTrust Service( (ה)  שירות אמון אלקטרוני יצירה או אימות של רשומות אלקטרוניות, ובכלל זה חתימות ,אלקטרוניות, חותמות אלקטרוניות, חותמות זמן אלקטרוניות או תעודות לאימות אתרים, וכן מסירת רשומה אלקטרונית, או שימור חתימות או חותמות אלקטרוניות .438 'ס"ח התשע"ד, עמ 32 1392 'טור א מגזר 'טור ב תת־מגזר 'טור ג התנאי :)  מתקיימים לגביו כל אלה2( :(א)  מתקיים לגביו אחד לפחות מהתנאים שלהלן )  מחזור העסקאות השנתי שלו ממכירות בישראל עולה1( ; מיליון שקלים חדשים40 על )  הוא מספק למשרדי ממשלה, ליחידות סמך או לגוף2( מונחה שירותים דיגיטליים או שירותי אחסון מהסוג המנוי בפרט משנה (ב); ובלבד שלספק חשבונות של מינהלן ) או שהוא בעל הרשאה לגישה מועדפתAdministrator( ,) לנכסי הסייבר של המשרד הממשלתיPrivileged Access( ;יחידת הסמך או הגוף המונחה :(ב)  הוא מספק אחד מאלה לפחות )  שירות דיגיטלי המאפשר למקבל השירות ניהול עצמאי1( ) וגישה רחבה מרחוק למאגרon-demand( על פי דרישה ) של משאביscalabel and elastic( גמיש וניתן להרחבה מחשוב הניתנים לשיתוף, לרבות כאשר משאבים אלה מפוזרים על פני כמה מיקומים גאוגרפיים (שירות מחשוב ;)Cloud Computing( ענן ) ושירות אירוחData Center( )  שירות מרכז נתונים2( ), הכולל החזקה, הפעלה או ניהול של מיתקןHosting( המיועד לאירוח, חיבור ותפעול מרכזי של ציוד, טכנולוגיית ,מידע ותקשורת או טכנולוגיית רשת, המאפשרים אחסון עיבוד או העברת נתונים, ובכלל זה שירותי אחסון של אתרי אינטרנט, שירותי אחסון של מדיה וגיבוי פיזי או לוגי, וכן החזקה הפעלה או ניהול של מיתקן המיועד לאספקת חשמל ;ולבקרת סביבה בהתאם לדרישות התפעוליות של הציוד Content Delivery Network( )  שירות רשת אספקת תוכן3( ), המספק, בשם ספקי תוכן ומפעילי שירותים, רשת- CDN ,של שרתים מפוזרים גיאוגרפית לשם הבטחת זמינות גבוהה נגישות או אספקה מהירה של תוכן ושירותים דיגיטליים ;למשתמשי אינטרנט ) הכולל התקנה, ניהול, תפעול אוMSP( )  שירות מנוהל4( תחזוקה, באופן פעיל ומתמשך, באתר הלקוח או מרחוק, של ,מוצרי טכנולוגיית מידע ותקשורת, רשתות, תשתיות מחשוב ;יישומים או מערכות מידע אחרות ) הכולל ניהולMSSP( 5)  שירות אבטחת סייבר מנוהל( סיכוני סייבר של הלקוח, כולם או חלקם, לרבות ניטור וזיהוי שוטף של סיכונים כאמור, תגובה להם או ייעוץ שוטף לגביהם, וכן אספקת מודיעין על סיכוני סייבר. .  חקלאות10 הוא קבלן מורשה לשיווק לפי תקנות המועצה לענף הלול (ייצור ושיווק) (כללים בדבר הסמכת קבלנים מורשים לשיווק ביצים, בשר , שהגיש את הבקשה להסמכה331994-עוף וחומר רביה), התשנ"ה אחוזים או יותר מביצי35 ) לתקנות האמורות, המשווק1(2 לפי תקנה המאכל המיוצרות בישראל .292 'ק"ת התשנ"ה, עמ 33 1393 תוספת רביעית ))1()9(ב (סעיף חלק א': דרישות רמת הגנת סייבר :דרישות שעניינן מדיניות לניתוח סיכונים והגנה על נכסי סייבר, כמפורט להלן )1( ), ובהם המחשביםCyber Assets( (א)  זיהוי ומיפוי נכסי הסייבר, ובכלל זה זיהוי ומיפוי שוטפים, של נכסי הסייבר והרשתות, תוכנות ומערכות מידע, מערכות תפעוליות, מוצרים דיגיטליים והאמצעים המחוברים אליהם (בתוספת נכסי סייבר), וכן זיהוי ומיפוי שוטפים של המשתמשים, התהליכים הארגוניים והשירותים- זו ובתוספת השישית המרכזיים (לרבות שירותים מקוונים), העושים שימוש בנכסי הסייבר ושל המידע והנתונים המאוחסנים, מעובדים המידע והנתונים), ובחינה מקיפה, אחת לשנה- ומועברים באמצעות נכסי הסייבר (בתוספת זו ובתוספת השישית ; שנה) לפחות, של המיפוי שבוצע- קלנדרית (בתוספת זו (ב)  איתור וזיהוי סיכוני הסייבר, ובכלל זה ביצוע ותיעוד של בדיקות ומבדקי אבטחה תקופתיים בנכסי הסייבר, המידע ) בהם ורמת ההגנה שלהם, וכן איתור תצורות טכנולוגיותVulnerabilities( והנתונים, לשם זיהוי סיכוני סייבר ופגיעויות מסכנות וכשלים העלולים לפגוע בפעילות הארגון, בנכסיו, בתהליכי הליבה שלו או במשתמשיו ובגורמים המקושרים ;אליו או לשבש את פעילות הארגון ושירותי הליבה שלו ,(ג)  ביצוע הערכה שיטתית ומתמשכת של סיכוני סייבר בנכסי הסייבר, במידע ובנתונים ובתהליכי הליבה של הארגון ובכלל זה הערכה תקופתית, שתיבחן אחת לשנה לפחות, וכן בעת הטמעה או שינוי מהותי, לרבות סיום שימוש בנכס ;סייבר או בשירות שיכולה להיות לו השפעה על הארגון ותיעודם במסמך הערכת סיכונים ארגוני (ד)  הכנת תוכנית עבודה לטיפול בסיכוני סייבר, לשם הגנת נכסי הסייבר, המידע והנתונים של הארגון, והבטחת תוכנית העבודה לטיפול בסיכוני הסייבר), בהתחשב- רציפות השירותים שלו ותהליכי הליבה המתבססים עליהם (להלן בהערכת הסיכונים, גודל הארגון, שרשרת הערך של הארגון, שקילת שיקולי תפעול, אישורה, אחת לשנה, בידי הנהלת ;הארגון, וכן יישום ועדכון של תוכנית העבודה, קיום בקרה על יישומה ותיעוד פעולות היישום והבקרה (ה)  דרישה לקיום מסגרת ארגונית להגנת סייבר שתהיה אחראית על קידום ויישום תוכנית העבודה כאמור בפרט ;)(ד) ותיעוד שוטף של הפעילויות המבוצעות במסגרת הארגונית האמורה4( משנה (ד) ופרט (ו)  הגנת תשתיות רשת, ובכלל זה קביעה, אישור בידי הנהלת הארגון והטמעה של נהלים להגנת רשתות המחשבים בארגון, באמצעות פריסה ויישום של אמצעים ומערכות הגנה לניטור ולאבטחת תשתיות תקשורת הנתונים הפנימית ) הנכנסים לארגוןInterfaces( ) והממשקיםWAN - Wide Area Network( והחיצונית של הארגון, לרבות הקישורים ) בין יחידותיו השונות בהתאם להערכתLAN - Local Area Network or WAN( והיוצאים ממנו, וכן החיבורים ;)(ב), להגנה על נכסי הסייבר, המידע והנתונים, והשירותים והתהליכים הארגוניים4()(ג) ו־1( הסיכון כאמור בפרטים ) והשירותיםDomains( ), והפרדת המתחמיםsegmentation( (ז)  דרישה להפרדת סביבות בארגון, פילוח רשתות השונים ברשת הארגון, והפרדה של רשתות, מתחמים ושירותים של צדדים שלישיים המופעלים בארגון או מקושרים ;)(ד) לטיפול בסיכוני סייבר4()(ד) ו־1( אליו, הכול בהתאם לתוצאות הערכת הסיכונים ותוכנית העבודה כאמור בפרטים ,(ח)  הגנה מפני תוכנה זדונית או עוינת, ובכלל זה פיתוח, אישור בידי הנהלת הארגון והטמעה של נהלים לאיתור ניטור ומניעת הפעלתן של תוכנות כאמור, באמצעות אמצעים ומערכות הגנה המותאמים לסיכוני הסייבר, להגנה על ;נכסי הסייבר, המידע והנתונים, והשירותים והתהליכים הארגוניים ), ובכלל זה פיתוח, אישור בידי הנהלת הארגון והטמעהSecured Configuration( (ט)  עבודה בתצורה מאובטחת של נהלים לקביעה, תיעוד, יישום וניטור של תצורות עבודה מאובטחות בנכסי הסייבר ושל המידע והנתונים, לרבות - )(ב) (בתוספת זו4()(ג) ו־1( צמצום פעולתה של תוכנה לא מורשית בהתאם למסמכי הערכת הסיכונים לפי פרטים ;)מסמכי הערכת הסיכונים (י)  פיתוח, אישור בידי הנהלת הארגון והטמעה של נהלים לניהול מחשבים שהם אמצעים ניידים, לשימוש בהם ;ולניטור פעילותם, הכול באמצעות אמצעים או מערכות הגנה מתאימים ובהתאם למסמכי הערכת הסיכונים (יא)  פיתוח, אישור בידי הנהלת הארגון והטמעה של נהלים לניהול ושימוש באמצעי אחסון נשלפים ומדיה נתיקה במיתקני הארגון או במקומות אחרים, בהתאם למסמכי הערכת הסיכונים, הכול באמצעות אמצעים או מערכות הגנה ;מתאימים אירוע סייבר) והתמודדות- ) ובכלל זה תקיפות סייבר (להלןCyber Events( דרישות שעניינן היערכות לאירועי סייבר )2( :עימם, כמפורט להלן 1394 ,(א)  קביעה ויישום של מנגנון ארגוני לדיווח על אירועי סייבר המאפשר דיווח על אירועים חשודים על ידי מנהלים ;עובדים, ספקים ולקוחות (ב)  פיתוח, אישור ויישום של תוכנית ארגונית המותאמת למסמכי הערכת הסיכונים בידי הנהלת הארגון לניטור טכנולוגי קבוע להגנת סייבר, ובכלל זה קיומה של מסגרת לניטור של נכסי הסייבר במידע ובנתונים הארגוניים והפעלת ;כלים לניטור טכנולוגי, לרבות כלים לרישום פעילויות ביומנים וניתוחן, הכול לצורך איתור חריגות ואירועים חשודים ), ניהול ערכי סף להתרעה, ניתוח אירועים והפצת התרעות לגורמים הנוגעים בדבר במקריםLOGS( (ג)  סקירת יומנים ;המתאימים, בין השאר באמצעות קביעת נהלים בעניין ויישום אמצעים הנדרשים לכך, הכול באופן קבוע ומתמשך ) ובכלל זה תחזוקה, גיבוי והגנה עליהם לתקופת שמירה מוגדרת ומאושרת מראש, לרבותLOGS( (ד)  שמירת יומנים ;מניעת גישה או שינוי בלתי מורשים ) והתרעות, ובכלל זה קביעתCyber Events( (ה)  דרישה לקביעה ויישום של תהליך ארגוני לסיווג אירועי סייבר ;קריטריונים להערכה וסיווג של חריגות שהתגלו באמצעות דיווח, ניטור או סקירת יומנים, לצורך תגובה מהירה ומבוקרת ), על בסיס הסיווג כאמורCyber Incident( (ו)  קביעה ויישום של תהליך ארגוני לזיהוי והכרזה על תקיפת סייבר ;)בפרט משנה (ה (ז)  הכנה, אישור בידי הנהלת הארגון אחת לשנה והטמעה של תוכנית ארגונית לטיפול באירועי סייבר, הכוללת ,נהלים, תפקידים ותחומי אחריות לשם איתור והתמודדות עם אירועי סייבר, מניעתם, בלימתם, התאוששות מהם ;תיעודם ודיווח עליהם (ח)  מינוי והכשרה מראש של צוות ניהול משברי סייבר בארגון, אשר יופעל במהלך משבר שנגרם כתוצאה מתקיפת ;סייבר, לצורך ניהול ההתמודדות עם התקיפה, ובכלל זה קבלת החלטות ותיאום הפעולות להתמודדות עם התקיפה IR - Incident( (ט)  היערכות ארגונית מוקדמת להפעלה, בזמן אמת, של מסגרת מקצועית להתערבות ותגובה ;) ייעודית לאירועי סייבר ושל אמצעים מתאימיםResponse (י)  גיבוש ואישור בידי הנהלת הארגון של תוכניות ונהלים לתקשורת עם צוות ניהול משברי סייבר כאמור בפרט ;משנה (ח), עם מסגרת התערבות ותגובה כאמור בפרט משנה (ט) ועם רשויות וגורמים פנימיים וחיצוניים הנוגעים לעניין ,(יא)  ביצוע, אחת לשנה לפחות, של תרגיל להנהלת הארגון ולצוות ניהול משברי סייבר, המשלב תגובה לאירועי סייבר ;), ותיעודוDisaster Recovery( ) והתאוששות מאסוןBusiness Continuity( המשכיות עסקית (יב)  ביצוע, אחת לשנה לפחות, של הכשרה ואימון מעשי או קיומה של הוכחת כשירות למסגרת מקצועית להתערבות ותגובה ייעודית לאירועי סייבר, לצוות הגנת הסייבר הארגוני ולצוות מערכות המידע והטכנולוגיות, לצורך התמודדות ;עם אירועי סייבר, ותיעודם ;(יג)  קיום ותיעוד של תהליך הפקת לקחים, למידה ושיפור מאירועי סייבר בארגון :דרישות שעניינן רציפות תפקודית והמשכיות השירות, כמפורט להלן )3( ), אחת לשנתיים לפחות, הכולל ביצוע הערכהBusiness Impact Analysis - BIA( (א)  ביצוע ניתוח השפעה עסקית של ההשפעה האפשרית של תקיפת סייבר על פעילות הארגון, ובהתאם לכך מיפוי, קביעה ואישור של יעדי רציפות ;תפקודית לנכסי הסייבר, המידע והנתונים והשירותים המרכזיים התלויים בהם ), המבוססתBCP( (ב)  הכנה, אישור בידי הנהלת הארגון, עדכון, מזמן לזמן, ויישום של תוכנית להמשכיות עסקית - )(ג) ובהתאם לניתוח ההשפעה העסקית כאמור בפרט משנה (א) (בפרט זה1( על הערכות סיכוני הסייבר כאמור בפרט הערכת הסיכונים וניתוח ההשפעה העסקית, הכוללת בין השאר יעדים, תפקידים, אנשי קשר, ערוצי תקשורת ותנאים ;להפעלת התוכנית או לסיום הפעלתה DRP - Disaster( (ג)  הכנה, אישור בידי הנהלת הארגון, עדכון אחת לשנתיים ויישום של תוכנית להתאוששות מאסון ) בהיבטי הגנת סייבר, לצורך התאוששות מאירועי סייבר והשבת פעילותם של נכסי סייבר, מידע, נתוניםRecovery Plan ) וכוללת יעדי התאוששותBCP( ושירותים, המבוססת על הערכת הסיכונים ובהתאמה לתוכנית להמשכיות עסקית ,), סדרי עדיפויות ורצף פעולות להתאוששות, תוכניות לשחזור ושיקום ומשאבים נדרשים, לרבות כוח אדםRTO/RPO( ;משאבי מחשוב, תקשורת ותשתיות פיזיות (ד)  הכנה, אישור בידי הנהלת הארגון, יישום ועדכון, באופן שוטף, של תוכנית גיבויים ארגונית למידע, נתונים ), המבוססת על הערכת הסיכונים וניתוח ההשפעה העסקית, ועל תוכנית ההמשכיותConfigurations( ותצורות העסקית והרציפות התפקודית, לצורך קידום ההתאוששות מאירועי סייבר, וכוללת, בין השאר, יעדי התאוששות מוגדרים והבטחת שלמות עותקי הגיבוי, אחסון מאובטח של גיבויים, בקרות גישה הולמות, נוהלי שחזור, ניהול גרסאות ) תקופתיות לעותקיRestorer( גיבוי ותקופות שמירת מידע ונתונים, וכן ביצוע, אחת לשנה לפחות, של בדיקות שחזור ;הגיבוי, ותיעודן 1359 ,)(ה)  ביצוע, אחת לשנתיים לפחות, של תדריך לעובדי הארגון בישראל, המנויים בתוכנית לפי פרטי משנה (ב) ו־(ד ;בעניין תוכנית ההמשכיות העסקית והתוכנית להתאוששות מאסון, ותיעודו :דרישות שעניינן הגנת סייבר בשרשרת האספקה, כמפורט להלן )4( (א)  ביצוע מיפוי שוטף של שרשרת האספקה של הארגון, ובכלל זה זיהוי הספקים, השירותים והמוצרים המסופקים על ידם והתלות של הארגון בהם, וכן זיהוי הסיכונים הנובעים מהם והשפעתם האפשרית על רמת הגנת הסייבר בנכסי ;הסייבר, במידע ובנתונים ובתהליכים הארגוניים (ב)  ביצוע, באופן שוטף, של הערכת סיכונים לשם קביעת רמת הסיכון הנובעת משרשרת האספקה, והשפעתה על נכסי הסייבר, המידע והנתונים, התהליכים הארגוניים והשירותים של הארגון ותיעודה במסמך הערכת סיכונים בשרשרת ;האספקה (ג)  מתן שאלון הגנת סייבר למילוי בידי ספקים או קבלת מידע על אודות רמת הגנת הסייבר אצל ספקים על ידי גורם מקצועי חיצוני ובלתי תלוי, לצורך הערכה של רמת הסיכון הכרוכה בהתקשרות עם הספק והשפעתה על רמת הגנת 24הסייבר בנכסי הסייבר, במידע ובנתונים ובתהליכים הארגוניים, לפני כל התקשרות עם ספק או חידושה, ואחת ל־ ;חודשים ממועד ההתקשרות או החידוש (ד)  הכנת תוכנית לטיפול בסיכוני סייבר שמקורם בשרשרת האספקה, לשם הגנת נכסי הסייבר, המידע והנתונים של הארגון, והבטחת רציפות השירותים שלו ותהליכי הליבה המתבססים עליהם, באמצעות נקיטת אמצעים או הפעלת מערכות הגנה, בחינתה, אחת לשנה, בידי הנהלת הארגון, עדכונה מזמן לזמן, ויישומה, וכן קיום בקרה על יישומה ותיעוד פעולות היישום והבקרה, הכול בהתאם לסיכוני הסייבר בשרשרת האספקה, להערכת הסיכונים שבוצעה ;לגביהם, למאפייני הארגון ולרמת ההגנה הקיימת בארגון (ה)  הכללה, בחוזים עם ספקים, קבלני משנה ונותני שירותים, של הוראות שעניינן הגנת סייבר בעניינים נוספים על העניינים המנויים בפרט משנה (ג), אשר בהתאם למאפייני הספק מגדירות דרישות להגנה על נכסי הסייבר של הארגון ,והמידע והנתונים שלו, וכוללות, בין השאר, חובות דיווח על אירועים, מנגנוני ביקורת, טיפול בפגיעויות וסיכוני סייבר ;דרישות הנוגעות להתקשרות עם ספקי משנה, ודרישות הנוגעות לסיום ההתקשרות ,)Vulnerabilities( ) ובפגיעויותExposure( דרישות שעניינן פיתוח מאובטח, תחזוקה של מערכות וטיפול בחשיפות 5) ( :כמפורט להלן קביעה, אישור בידי הנהלת הארגון ועדכון, אחת לשנתיים, של- (א)  לגבי ארגון העוסק בפיתוח תוכנה או חומרה נוהל לפיתוח מאובטח של מערכות ויישומים בארגון, בעצמו או באמצעות מיקור חוץ, אשר יכלול, בין השאר, הוראות להגנת סייבר בסביבת הפיתוח ובתהליך הפיתוח, וכן יישום עקרונות תכנון וקידוד מאובטחים, ויישום תהליכי בדיקות ;בנכסי הסייבר שבפיתוח, ולהגנה על נתוני הבדיקות וניהולם (ב)  קביעה, בחינה בידי הנהלת הארגון, עדכון, אחת לשנה, והטמעה של הנחיות ונהלים מקצועיים לתהליכים של ), תחזוקה ועדכוני מערכתSecurity Patch Management(( ), ניהול טלאי אבטחהChange Management( ניהול שינויים ), הכול בתוך פרק זמן סביר ממועד פרסוםFirmware( ), לרבות עדכוני תוכנה וקושחהUpdates( בנכסי הסייבר בארגון ;השינוי, הטלאי או העדכון, וכן ביצוע בקרה של הנהלת הארגון על יישום התהליך ותיעודה (ג)  קביעה, אישור בידי הנהלת הארגון, עדכון באופן שוטף, והטמעה של הנחיות ונהלים מקצועיים לניהול פגיעויות ,) בנכסי הסייבר, המידע והנתונים של הארגוןExposure Management( ) וניהול חשיפותVulnerability Management( ) מסכנות בנכסי הסייבר שלConfigurations( אשר מסדירים בין השאר פעילות רציפה לאיתור פגיעויות ותצורות הארגון, המידע והנתונים שלו, ולאיתור חשיפות, בהתאם למסמכי הערכת הסיכונים, בין השאר, באמצעות ביצוע בדיקות טכנולוגיות ותהליכיות על נכסי הסייבר, המידע והנתונים של הארגון, עדכון רמת הסיכון בנכסי הסייבר בעקבות הפעילויות האמורות, ונקיטת אמצעים מתאימים לטיפול בפגיעויות, בתצורות המסכנות או בחשיפות שאותרו בתוך ;פרק זמן סביר בהתאם למאפייני הארגון, ובכלל זה ביצוע בקרה על הטיפול :דרישות שעניינן מדיניות ונהלים להערכת התועלת של הפעילות הארגונית להגנת סייבר, כמפורט להלן )6( ,(א)  גיבוש, אישור בידי הנהלת הארגון, עדכון שנתי ויישום של מדיניות ארגונית כוללת להגנה על נכסי הסייבר ,המידע והנתונים, בארגון או בשרשרת האספקה שלו, הכוללת קביעת עקרונות יסוד להגנת סייבר, תחומי אחריות תוכניות ונהלים הנוגעים להגנת סייבר, כמפורט בתוספת זו, וכן קביעת מנגנונים לפיקוח ובקרה על יישומם של אלה ;ותיעוד פעולת המנגנונים שנקבעו (ב)  התאמה של מדיניות ונהלים ארגוניים מרכזיים, הקשורים למידע והנתונים, לשירותי הליבה של הארגון ולתהליכים ;הארגוניים, כך שיכללו התייחסות מתאימה להיבטי הגנת הסייבר ,), בעל ידע וניסיון מקצועי מתאימיםChief Information Security Officer - CISO( (ג)  מינוי מנהל הגנת סייבר ארגוני אשר ידווח ישירות למנהל הארגון, ויוקנו לו הסמכויות המתאימות למימוש המדיניות הארגונית האמורה בפרט משנה (א) ולניהול מערך הגנת הסייבר הארגוני, ובלבד שלא ימלא תפקיד נוסף בארגון אם מילוי התפקיד כאמור עלול ;להעמידו בחשש לניגוד עניינים במילוי תפקידו כמנהל הגנת סייבר ארגוני 1396 (ד)  מינוי בעלי תפקידים נוספים שיעסקו בהגנת הסייבר וקביעת תחומי האחריות והסמכות שלהם, בידי הנהלת הארגון, בהתאם למאפייני הארגון ואופי פעילותו, בין השאר כמפורט בתוכנית העבודה לטיפול בסיכוני סייבר, בתוכנית ) בהיבטיDRP( ), בתוכנית להתאוששות מאסוןBCP( הארגונית לטיפול באירועי סייבר, בתוכנית להמשכיות עסקית ,))(ב) ו־(ג3()(ז) ו־2( ,))(ד1( הגנת סייבר ובתוכנית לטיפול בסיכוני סייבר שמקורם בשרשרת האספקה, האמורות בפרטים ;בהתאמה (ה)  מינוי ועדת היגוי ארגונית להגנת סייבר, בראשות מנהל הארגון או דירקטור בארגון, שתתכנס פעמיים בשנה לפחות, תאשר את המדיניות הארגונית האמורה בפרט משנה (א) ובכלל זה את עקרונותיה, תדון בהערכת סיכוני הסייבר, בהתאם לתמונת המצב לגבי הגנת הסייבר בארגון, ותקבע סדר עדיפות לטיפול בהם, תקצה את המשאבים הנדרשים לכך, ותבצע מעקב אחר יישום התוכניות האמורות בפרט משנה (ד) ויעילותן, הכול על סמך הדיון שקיימה ;בהערכת סיכוני הסייבר כאמור ,(ו)  הכנה על ידי הגורמים המקצועיים הרלוונטיים בארגון ואישור בידי הנהלת הארגון, אחת לשישה חודשים לפחות ,של דוח על מצב הגנת הסייבר בארגון, הכולל, בין השאר, סקירת סיכוני סייבר בנכסי הסייבר, המידע והנתונים, והערכתם סקירה של אירועי סייבר שקרו בארגון בתקופת הדוח והטיפול בהם, סקירה של פעולות שבוצעו לצמצום פגיעויות וחשיפות, מצב יישום תוכניות העבודה האמורות בפרט משנה (ד), רמת הכשירות הארגונית להתמודדות עם אירועי סייבר ולהבטחת הרציפות התפקודית בהתאם לסקירות האמורות, ומידת הציות של הארגון לחובות החלות עליו לפי דין ;), לקיים את הדרישות המנויות בתוספת זו1()(ב7 ולהוראות תקן כאמור בחלק ב' לתוספת, שלפיו בחר הארגון, לפי סעיף :דרישות שעניינן היגיינת מחשב בסיסית והדרכות, כמפורט להלן )7( ), ובכלל זה גיבוש, אישור בידי ההנהלה ועדכון, מזמן לזמן, שלShadow IT( (א)  יישום תוכנית למניעת תקשוב צללים נהלים ארגוניים בעניין שימוש בנכסי סייבר, המידע והנתונים השייכים לארגון או בעניין שימוש בנכסי סייבר, מידע ונתונים שאינם שייכים לארגון, שהשימוש בהם נעשה בבקרה של הארגון באמצעות נקיטת אמצעים והפעלת מערכות ;הגנה מתאימות, בהתאם למסמכי הערכת הסיכונים והחלת מנגנוני בקרה ואכיפה וביצוע הדרכות ,(ב)  הכנה, אישור בידי הנהלת הארגון, עדכון, מזמן לזמן, ויישום של תוכנית שנתית להגברת מודעות לסיכוני סייבר ,בהתאם למסמכי הערכת הסיכונים, וכן קיום הדרכות ותרגילים לעידוד התנהגות אחראית במרחב הסייבר להנהלה ;לעובדים ולספקים, שתכליתם הקניית ידע וכלים לזיהוי אירועי סייבר ולהתמודדות עימם פעם בשנה לכל הפחות (ג)  הכנה, אישור בידי הנהלת הארגון, עדכון, מזמן לזמן, ויישום של תוכנית שנתית להכשרה או תרגול מעשיים בתחום הגנת הסייבר לבעלי תפקידים רגישים בארגון, הכוללת הקניית ידע ומיומנויות לשימוש מאובטח במערכות ולמניעת ;אירועי סייבר הנובעים מפעילותם של בעלי תפקידים כאמור, וביצוע ההכשרה או התרגול כאמור אחת לשנה לפחות ,לעניין זה, "בעלי תפקידים רגישים בארגון" – לרבות עובדים בעלי גישה מועדפת לנכסי סייבר, מידע ונתונים רגישים ;) או עובדים שתפקידם בארגון דורש מיומנויות מקצועיות מתקדמות בתחומי מחשוב וסייברAdministrators( מינהלנים :דרישות שעניינן הצפנה והסתרה של נכסי סייבר, כמפורט להלן )8( (א)  קביעה, אישור בידי הנהלת הארגון, בחינה, אחת לשנתיים, והטמעה של נוהל לסיווג רמות הרגישות של נכסי הסייבר, המידע והנתונים בארגון, לרבות הסיווג הביטחוני שלהם, אם קיים בארגון, וכן דרישה לביצוע מיפוי בהתאם ;לנוהל כאמור, אחת לשנה לפחות, ולתיעודו (ב)  גיבוש, אישור בידי הנהלת הארגון, עדכון, מזמן לזמן, ויישום של מדיניות, נהלים והנחיות מקצועיות לשמירה על הסודיות והמהימנות של המידע והנתונים בארגון, ולאימות המידע והנתונים, בהתאם לרגישות ולסיווג של נכסי הסייבר של הארגון כאמור בפרט משנה (א), זאת, בין השאר, באמצעות שימוש שוטף באמצעי הצפנה, תעודות אבטחה ;וחתימות דיגיטליות ), ובכלל זה הצפנת קבצים, מסדיAt rest( ), מקצה לקצה, ובמנוחהIn transit( (ג)  הצפנת המידע והנתונים, במעבר נתונים ועותקי גיבוי, הכול באמצעות אמצעים, פרוטוקולים, אלגוריתמים ופתרונות הצפנה מקובלים, בהתאם לרמות הרגישות והסיווג של המידע והנתונים לפי המיפוי כאמור בפרט משנה (א), ובהתאם למדיניות ההצפנה, לנוהלי ;ההצפנה, כאמור בפרט משנה (ב) ולמסמכי הערכת הסיכונים (ד)  קביעה, אישור בידי הנהלת הארגון, עדכון, מזמן לזמן, והטמעה של נהלים הנדרשים להפעלת תשתית טכנולוגית לניהול מפתחות הצפנה ותעודות אבטחה ככל שנדרש ובהתאם לאופי הארגון, הכוללים בין השאר, הוראות לעניין הפקה, אחסון, החלפה, אחזור והשמדה של חומר מחשב המשמש לקידוד הצפנה (חומר קריפטוגרפי), תוך הפרדה לוגית בין המידע והנתונים המוצפנים לבין אמצעי ניהול התשתית האמורה, וכן קביעת מנגנונים לפיקוח ובקרה על יישומם ;של הנהלים האמורים ולתיעוד פעולת המנגנונים שנקבעו :דרישות שעניינן בקרת גישה, ניהול נכסי סייבר והתייחסות לגורם האנושי 9) ( 1397 (א)  גיבוש, אישור בידי הנהלת הארגון, עדכון, אחת לשנה, ויישום של מדיניות ונהלים לבקרת גישה המבוססת על ,)8( ) ועל הרגישות והסיווג של נכסי הסייבר, המידע והנתונים כאמור בפרט4() ו־1( הסיכונים שזוהו כאמור בפרטים אשר קובעים רמות גישה והרשאה לנכסי הסייבר, המידע והנתונים, ומבטיחים יישום בפועל של עקרונות מקצועיים ), באמצעותSegregation of Duties - SoD( ) והפרדת תפקידיםLeast Privilege( שעניינם מידור, הרשאת גישה מזערית אמצעים ומערכות הגנה מתאימים ותהליכי בקרה ארגוניים, וכן קביעת מנגנונים לפיקוח ובקרה על יישומם של ;המדיניות והנהלים האמורים ותיעוד פעולת המנגנונים שנקבעו Multi-Factor Authentication( (ב)  הטמעה ויישום טכנולוגי של אמצעי אימות מתקדמים, לרבות אימות רב־גורמי ) בטכנולוגיה מקובלת, בכל גישה לנכס סייבר מרחוק, או בגישה לנכס סייבר המכיל מידע ונתונים רגישים או- MFA ) ומינהלניםPrivileged Users( מסווגים או גישה לתהליכים רגישים, גישה לחשבונות של בעלי הרשאות מועדפות ,) ולרגישות והסיווג של נכסי הסייבר4() ו־1( ), הכול בהתאם לסיכונים שזוהו כאמור בפרטיםAdministrative User( ;)8( המידע והנתונים, כאמור בפרט ,), ובכלל זה כתיבה, אישור בידי הנהלת הארגוןIAM - Identity and Access Management( (ג)  ניהול זהויות וגישה עדכון, אחת לשנתיים, והטמעה של נהלים לניהול מחזור החיים של זהויות דיגיטליות, המבטיחים שיוך זהות ייחודית וחד־ערכית לכל משתמש ולכל נכס סייבר בהתאם ליכולות הטכניות שלו, ובהתאם למדיניות בקרת הגישה כאמור ) של הפעולותAudit Trail( בפרט משנה (א), של הארגון, לרבות תהליכים הכוללים מתן גישה, הרשאות, ורישום ובקרה הקריטיות בהתאם למסמכי הערכת הסיכונים, וכן קביעת מנגנונים לפיקוח ובקרה על יישומם של הנהלים האמורים ;ותיעוד פעולת המנגנונים שנקבעו (ד)  קביעה, אישור בידי הנהלת הארגון, עדכון, אחת לשנתיים, והטמעה של נהלים לאכיפה שוטפת של מדיניות בקרת הגישה, כאמור בפרט משנה (א), בכל הנוגע לחשבונות מועדפים, וכן שימוש באמצעי לניהול של חשבונות מועדפים ;) וחשבונות רגישים אחרים בארגוןAdministrators( ), חשבונות של מינהלניםManagement( Data( (ה)  קביעה, אישור בידי הנהלת הארגון, בחינה, אחת לשנה, והטמעה של נהלים לאבטחת מרכזי המחשבים ) שבהם נמצאים נכסי סייבר, הכוללים הוראות לעניין אמצעים שיינקטו להגנה מפני חבלה ונזקים פיזיים לרבותCenters נזקים סביבתיים, בקרת כניסה אליהם ובכלל זה ניהול מורשי כניסה ובהם ספקים, וניטור, בקרה ותיעוד רציפים של ;כניסות אליהם ופעילויות המבוצעות בהם, וכן ביצוע בקרה על יישומם של הנהלים האמורים ותיעודה (ו)  קביעה, אישור בידי הנהלת הארגון, עדכון, אחת לשנתיים, והטמעה של נהלים לביצוע בדיקות רקע או מהימנות לעובדים בישראל, מנהלים בישראל ועובדי ספקים הפועלים מול הארגון בישראל, מזמן לזמן, בין השאר לפני קבלת גישה ) ולרגישות4() ו־1( לנכסי הסייבר, המידע והנתונים, שיתבצעו בהתאם למסמכי הערכת סיכונים שזוהו כאמור בפרטים ;), וכן ביצוע בקרה על יישומם של הנהלים האמורים ותיעודה8( והסיווג של נכסי הסייבר, המידע והנתונים, כאמור בפרט (ז)  קביעה, אישור בידי הנהלת הארגון, עדכון, אחת לשנתיים, והטמעה של נהלים לניהול מחזור חיי העובד בהקשר של הגנת סייבר, הכוללים בין השאר הוראות לעניין הקצאה, שינוי או ביטול זהות, ניהול הרשאות וגישה בהתאם לתפקיד ולמדיניות בקרת הגישה, הפעלה או הסרה של אמצעי אימות, הדרכה ראשונית או תדריך פרידה, וקבלה או החזרה של נכסי סייבר וכן הוראות לעניין תיעוד כלל הפעילויות האמורות, וביצוע בקרה על יישום הנהלים, אחת לשנה לפחות. חלק ב': תקינה ) בענייןIEC( ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( של ארגון התקינה הבין־לאומיISO/IEC 27001 תקן מספר )1( דרישות, שאושר על ידי הארגון והנציבות- אבטחת מידע, הגנת סייבר והגנת הפרטיות – מערכות ניהול אבטחת מידע , העומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; יחד עם2022 האמורים בחודש אוקטובר ) בענייןIEC( ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( של ארגון התקינה הבין־לאומיISO/IEC 27002 תקן מספר בקרות, שאושר על ידי הארגון והנציבות כאמור- מערכות ניהול אבטחת מידע- אבטחת מידע, הגנת סייבר והגנת הפרטיות , העומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן.2022 בחודש פברואר 31( בעניין מערכת ניהול אבטחת מידע, שאומץ על ידי מכון התקנים ביום ט' בשבט התשפ"ג27001 תקן מספר ת"י )2( 27002 ) (בגרסתו העדכנית), העומד לעיון הציבור במכון התקנים, על עדכוניו מזמן לזמן; יחד עם תקן מספר ת"י2023 בינואר בקרות אבטחת מידע, שאומץ על ידי מכון התקנים ביום ט' בשבט- בעניין אבטחת מידע, אבטחת סב"ר והגנה על הפרטיות ) (בגרסתו העדכנית), העומד לעיון הציבור במכון התקנים, על עדכוניו מזמן לזמן.2023 בינואר31( התשפ"ג ) בעניין בקרותNIST( ) של המכון הלאומי לתקנים וטכנולוגיה של ארה"בNIST Cybersecurity Framework (CSF תקן )3( אבטחה ופרטיות בעבור מערכות מידע וארגונים (במהדורתו השנייה), שאושר על ידי המכון האמור ביום י"ז באדר א' התשפ"ד ;), העומד לעיון הציבור באתר האינטרנט של המכון האמור, על עדכוניו מזמן לזמן2024 בפברואר26( ) בעניין בקרות אבטחה ופרטיותNIST( של המכון הלאומי לתקנים וטכנולוגיה של ארה"בNIST SP 800-53 תקן מספר )4( בעבור מערכות מידע וארגונים (במהדורתו החמישית), קווי בסיס לבקרות הגנה להתמודדות ברמת השפעה בינונית או ), העומד2020 בספטמבר23( ), שאושר על ידי המכון האמור ביום ה' בתשרי התשפ"אModerate or High Impact( גבוהה לעיון הציבור באתר האינטרנט של המכון האמור, על עדכוניו מזמן לזמן. 1398 תוספת חמישית ))(ז20 (סעיף 125 - המספר המרבי של ארגונים שייקבעו כארגון חיוני למערכת הביטחון תוספת שישית ))(א) ו־(ב27 (סעיף 'חלק א 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים ))(א1( .  דרישה לביצוע זיהוי ומיפוי כמפורט בפרט1 לתוספת הרביעית, או לביצוע, אחת לשנה לפחות, של בחינה מקיפה של המיפוי שבוצע כאמור 640,000 .  דרישה לביצוע איתור וזיהוי של סיכוני סייבר, כמפורט2 )(ב) לתוספת הרביעית או לביצוע איתור של תצורות1( בפרט טכנולוגיות מסכנות וכשלים כמפורט באותו פרט 640,000 .  דרישה לביצוע הערכה שיטתית מתמשכת של סיכוני3 הסייבר בנכסי הסייבר, במידע, ובנתונים ובתהליכי הליבה של הארגון שתיבחן אחת לשנה לפחות, בעת ההטמעה או ,שינוי מהותי, לרבות סיום שימוש בנכס סייבר או בשירות )(ג) לתוספת הרביעית1( הכול, כמפורט בפרט 640,000 ,.  דרישה להכנת תוכנית עבודה לטיפול בסיכוני הסייבר4 לאישורה, ליישומה, לעדכונה, לקיום בקרה על יישומה, או )1( לתיעוד פעולות היישום והבקרה, הכול כמפורט בפרט (ד) לתוספת הרביעית 640,000 5.  דרישה לקיום מסגרת ארגונית להגנת סייבר, לקידום )(ה) ובפרט1( או ליישום תוכנית העבודה כאמור בפרט )(ד) לתוספת הרביעית או תיעוד שוטף של הפעילויות4( המבוצעות במסגרת הארגונית האמורה כמפורט בפרט )(ה) לתוספת הרביעית1( 640,000 ))(ו1( .  דרישה להגנת תשתיות רשת כמפורט בפרט6 לתוספת הרביעית 640,000 .  דרישה להפרדת סביבות בארגון, פילוח רשתות7 )Domains( ), או הפרדת המתחמיםsegmentation( ,והשירותים השונים ברשת הארגון, או הפרדה של רשתות מתחמים ושירותים של צדדים שלישיים המופעלים בארגון )(ז) לתוספת הרביעית1( או מקושרים אליו, כמפורט בפרט 640,000 .  דרישה להגנה מפני תוכנה זדונית או עויינת כמפורט8 )(ח) לתוספת הרביעית1( בפרט 640,000 )1( 9.  דרישה לעבודה בתצורה מאובטחת כמפורט בפרט (ט) לתוספת הרביעית 640,000 .  דרישה לפיתוח, אישור בידי הנהלת הארגון או הטמעה10 של נהלים לניהול מחשבים שהם אמצעים ניידים, לשימוש )(י) לתוספת1( בהם או לניטור פעילותם, כמפורט בפרט הרביעית 640,000 1399 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים .  דרישה לפיתוח, אישור בידי הנהלת הארגון או הטמעה11 של נהלים לניהול ושימוש באמצעי אחסון נשלפים ומדיה נתיקה במיתקני הארגון או במקומות אחרים, כמפורט בפרט )(יא) לתוספת הרביעית1( 640,000 .  דרישה לקביעה ויישום של מנגנון ארגוני לדיווח על12 )(א) לתוספת הרביעית2( אירועי סייבר, כמפורט בפרט 640,000 .  פיתוח, אישור או יישום של תוכנית ארגונית13 המותאמת למסמכי הערכת הסיכונים בידי הנהלת הארגון ))(ב2( לניטור טכנולוגי קבוע להגנת סייבר, כמפורט בפרט לתוספת הרביעית 640,000 .  דרישה לסקירת יומנים, ניהול ערכי סף להתרעה, ניתוח14 אירועים להפצת התרעות לגורמים הנוגעים בדבר במקרים )(ג) לתוספת הרביעית2( המתאימים, כמפורט בפרט 640,000 )(ד) לתוספת2( .  דרישה לשמירת יומנים כמפורט בפרט15 הרביעית 640,000 .  דרישה לקביעה ויישום של תהליך ארגוני לסיווג16 )(ה) לתוספת2( אירועי סייבר והתרעות, כמפורט בפרט הרביעית 640,000 .  דרישה לקביעה וליישום של תהליך ארגוני לזיהוי17 )(ו) לתוספת2( והכרזה של תקיפת סייבר, כמפורט בפרט הרביעית 640,000 .  דרישה להכנה, לאישור בידי הנהלת הארגון אחת18 לשנה או להטמעה של תוכנית ארגונית לטיפול באירועי )(ז) לתוספת הרביעית2( סייבר, כמפורט בפרט 640,000 .  דרישה למינוי ולהכשרה מראש של צוות ניהול משברי19 )(ח) לתוספת הרביעית2( סייבר בארגון, כמפורט בפרט 640,000 .  דרישה להיערכות ארגונית מוקדמת להפעלה, בזמן20 אמת, של מסגרת מקצועית להתערבות ותגובה ייעודית לאירועי סייבר ושל אמצעים מתאימים, כמפורט בפרט )(ט) לתוספת הרביעית2( 640,000 .  דרישה לגיבוש ואישור, בידי הנהלת הארגון, של21 ,תוכניות ונהלים לתקשורת עם צוות ניהול משברי סייבר עם מסגרת מקצועית להתערבות ותגובה ייעודית לאירועי סייבר ועם רשויות וגורמים פנימיים וחיצוניים הנוגעים )(י) לתוספת הרביעית2( לעניין, כאמור בפרט 640,000 .  דרישה לביצוע, אחת לשנה לפחות, של תרגיל להנהלת22 ))(יא2( הארגון ולצוות ניהול משברי סייבר, כמפורט בפרט לתוספת הרביעית 640,000 .  דרישה לביצוע, אחת לשנה לפחות, של הכשרה23 ואימון מעשי למסגרת מקצועית להתערבות ותגובה ייעודית לאירועי סייבר, לצוות הגנת הסייבר הארגוני ולצוות מערכות ))(יב2( המידע והטכנולוגיות, ולתיעודם, כמפורט בפרט לתוספת הרביעית 640,000 ,.  דרישה לקיום ולתיעוד של תהליך הפקת לקחים24 ))(יג2( למידה ושיפור מאירועי סייבר בארגון, כאמור בפרט לתוספת הרביעית 320,000 1400 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים .  דרישה לביצוע ניתוח השפעה עסקית, כמפורט בפרט25 )(א) לתוספת הרביעית, אחת לשנתיים לפחות, ולביצוע של3( מיפוי, קביעה או אישור של יעדי רציפות תפקודית לנכסי הסייבר, המידע והנתונים והשירותים המרכזיים התלויים בהם, בהתאם לניתוח שבוצע כאמור 640,000 ,.  דרישה להכנה, לאישור בידי הנהלת הארגון, לעדכון26 ,מזמן לזמן, או ליישום של תוכנית להמשכיות עסקית )(ב) לתוספת הרביעית3( כמפורט בפרט 640,000 .  דרישה להכנה, לאישור בידי הנהלת הארגון, לעדכון27 אחת לשנתיים או ליישום של תוכנית להתאוששות מאסון ) בהיבטי הגנת סייבר, לצורך התאוששות מאירועיDRP( סייבר והשבת פעילותם של נכסי סייבר, מידע, נתונים )(ג) לתוספת הרביעית3( ושירותים, כמפורט בפרט 640,000 .  דרישה להכנה, לאישור בידי הנהלת הארגון, ליישום28 ,או לעדכון, באופן שוטף של תוכנית גיבויים ארגונית למידע נתונים ותצורות ועל תוכנית ההמשכיות העסקית והרציפות )(ד) לתוספת הרביעית, וכן3( התפקודית, כמפורט בפרט דרישה לביצוע, אחת לשנה לפחות, של בדיקות שחזור תקופתיות לעותקי הגיבוי ולתיעודן, כאמור באותו פרט 640,000 .  דרישה לביצוע, אחת לשנתיים לפחות, של תדריך29 לעובדי הארגון בישראל, המנויים בתוכנית לפי פרטים )(ד) לתוספת הרביעית, בעניין תוכנית ההמשכיות3()(ב) ו־3( העסקית והתוכנית להתאוששות מאסון, ותיעודו, כאמור )(ה) לתוספת הרביעית3( בפרט 320,000 .  דרישה לביצוע מיפוי שוטף של שרשרת האספקה של30 )(א) לתוספת הרביעית4( הארגון, כמפורט בפרט 640,000 .  דרישה לביצוע, באופן שוטף, הערכת סיכונים לשם31 קביעת רמת הסיכון הנובעת משרשרת האספקה, והשפעתה על נכסי הסייבר, המידע והנתונים, התהליכים הארגוניים והשירותים של הארגון ותיעודה במסמך הערכת סיכונים )(ב) לתוספת הרביעית4( בשרשרת האספקה, כאמור בפרט 640,000 .  דרישה למתן שאלון הגנת סייבר למילוי בידי ספקים32 או קבלת מידע על אודות רמת הגנת הסייבר אצל ספקים ))(ג4( על ידי גורם מקצועי חיצוני ובלתי תלוי, כמפורט בפרט ,לתוספת הרביעית, לפני כל התקשרות עם ספק או חידושה חודשים ממועד ההתקשרות עם ספק או החידוש24ואחת ל־ 320,000 .  דרישה להכנת תוכנית לטיפול בסיכוני סייבר שמקורם33 ,)(ד) לתוספת הרביעית4( בשרשרת האספקה, כמפורט בפרט ,ודרישה לבחינתה, אחת לשנה, בידי הנהלת הארגון לעדכונה מזמן לזמן, ליישומה, לקיום בקרה על יישומה או לתיעוד פעולות היישום והבקרה כמפורט באותו פרט 640,000 ,.  דרישה להכללה של הוראות שעניינן הגנת סייבר34 ,)(ה) לתוספת הרביעית, בחוזים עם ספקים4( כמפורט בפרט קבלני משנה ונותני שירותים 320,000 1401 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים - .  דרישה מארגון העוסק בפיתוח תוכנה או חומרה35 לקביעה, לאישור בידי הנהלת הארגון, או לעדכון, אחת לשנתיים, של נוהל לפיתוח מאובטח של מערכות ויישומים 5)(א) לתוספת הרביעית, ודרישה( בארגון, כמפורט בפרט ליישום עקרונות תכנון וקידוד מאובטחים, ליישום תהליכי בדיקות בנכסי הסייבר שבפיתוח, או להגנה על נתוני הבדיקות וניהולם, כאמור באותו פרט 320,000 ,.  דרישה לקביעה, לבחינה בידי הנהלת הארגון, לעדכון36 אחת לשנה, או להטמעה של הנחיות ונהלים מקצועיים לתהליכים של ניהול שינויים, ניהול טלאי אבטחה, תחזוקה ועדכוני מערכת בנכסי הסייבר בארגון, לרבות עדכוני תוכנה 5)(ב) לתוספת הרביעית, ולביצוע( וקושחה, כמפורט בפרט בקרה בידי הנהלת הארגון על יישום התהליך ותיעוד הבקרה שבוצעה, כאמור באותו פרט 640,000 .  דרישה לקביעה, לאישור בידי הנהלת הארגון, לעדכון37 באופן שוטף, או להטמעה של הנחיות ונהלים מקצועיים לניהול פגיעויות וניהול חשיפות בנכסי הסייבר, המידע ,5)(ג) לתוספת הרביעית( והנתונים של הארגון, כמפורט בפרט ודרישה לעדכון רמת הסיכון בנכסי הסייבר בעקבות הפעילויות האמורות, או נקיטת אמצעים מתאימים לטיפול בפגיעויות, בתצורות המסכנות או בחשיפות שאותרו כמפורט באותו פרט 640,000 .  דרישה לגיבוש, לאישור בידי הנהלת הארגון, לעדכון38 שנתי או ליישום של מדיניות ארגונית כוללת להגנת על נכסי ,הסייבר, המידע והנתונים בארגון או בשרשרת האספקה שלו )(א) לתוספת הרביעית, או דרישה לקביעת6( כמפורט בפרט מנגנונים לפיקוח ובקרה על יישומם של אלה ולתיעוד פעולת המנגנונים שנקבעו, כאמור באותו פרט 640,000 .  דרישה להתאמה של מדיניות ונהלים ארגוניים39 מרכזיים, הקשורים למידע והנתונים, לשירותי הליבה של הארגון ולתהליכים הארגוניים, כך שיכללו התייחסות )(ב) לתוספת6( מתאימה להיבטי הגנת הסייבר, כאמור בפרט הרביעית 320,000 .  דרישה למינוי מנהל הגנת סייבר ארגוני, בעל ידע40 )(ג) לתוספת6( וניסיון מקצועי מתאימים, כמפורט בפרט הרביעית 640,000 .  דרישה למינוי בעלי תפקידים נוספים שיעסקו בהגנת41 סייבר ולקביעת תחומי האחריות והסמכות שלהם, בידי ,הנהלת הארגון, בהתאם למאפייני הארגון ואופי פעילותו )(ד) לתוספת הרביעית6( כמפורט בפרט 320,000 ,.  דרישה למינוי ועדת היגוי ארגונית להגנת סייבר42 בראשות מנהל הארגון או דירקטור בארגון, שתפעל באופן )(ה) לתוספת הרביעית6( המפורט בפרט 320,000 .  דרישה להכנה על ידי הגורמים המקצועיים43 הרלוונטיים בארגון ולאישור בידי הנהלת הארגון, אחת לשישה חודשים לפחות, של דוח על מצב הגנת הסייבר )(ו) לתוספת הרביעית6( בארגון, כמפורט בפרט 640,000 1402 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים .  דרישה ליישום תוכנית למניעת תקשוב צללים, ובכלל44 זה דרישה לגיבוש, לאישור בידי הנהלת הארגון, או לעדכון )(א) לתוספת7( מזמן לזמן של נהלים ארגוניים כמפורט בפרט הרביעית, או דרישה להחלת מנגנוני בקרה ואכיפה או ביצוע הדרכות, כאמור באותו פרט 640,000 ,.  דרישה להכנה, לאישור בידי הנהלת הארגון, לעדכון45 מזמן לזמן או ליישום של תוכנית שנתית להגברת מודעות לסיכוני סייבר, בהתאם למסמכי הערכת הסיכונים, או דרישה לקיום הדרכות ותרגילים לעידוד התנהגות אחראית במרחב הסייבר, להנהלה, לעובדים ולספקים, פעם בשנה )(ב) לתוספת הרביעית7( לכל הפחות, כמפורט בפרט 320,000 ,.  דרישה להכנה, לאישור בידי הנהלת הארגון, לעדכון46 מזמן לזמן, או ליישום של תוכנית שנתית להכשרה או תרגול מעשיים בתחום הגנת הסייבר לבעלי תפקידים רגישים )(ג) לתוספת הרביעית, ודרישה7( בארגון, כמפורט בפרט ,לביצוע ההכשרה או התרגול כאמור אחת לשנה לפחות כאמור באותו פרט 320,000 ,.  דרישה לקביעה, לאישור בידי הנהלת הארגון, בחינה47 אחת לשנתיים, או להטמעה של נוהל לסיווג רמות הרגישות של נכסי הסייבר, המידע והנתונים בארגון, לרבות הסיווג הביטחוני שלהם, אם קיים בארגון, או דרישה לביצוע מיפוי בהתאם לנוהל כאמור, אחת לשנה לפחות, ולתיעודו, כאמור )(א) לתוספת הרביעית8( בפרט 640,000 ,.  דרישה לגיבוש, לאישור בידי הנהלת הארגון, לעדכון48 מזמן לזמן, או ליישום של מדיניות, נהלים והנחיות מקצועיות לשמירה על הסודיות והמהימנות של המידע והנתונים בארגון ולאימות המידע והנתונים בהתאם לרגישות ולסיווג )(ב) לתוספת8( של נכסי הסייבר של הארגון, כמפורט בפרט הרביעית 640,000 .  דרישה להצפנת המידע והנתונים במעבר, מקצה לקצה49 )(ג) לתוספת הרביעית8( ובמנוחה, כמפורט בפרט 640,000 ,5.  דרישה לקביעה, לאישור בידי הנהלת הארגון, לעדכון0 מזמן לזמן, או להטמעה של נהלים הנדרשים להפעלת תשתית טכנולוגית לניהול מפתחות הצפנה ותעודות אבטחה ))(ד8( ככל שנדרש ובהתאם לאופי הארגון כמפורט בפרט לתוספת הרביעית, וכן דרישה לקביעת מנגנונים לפיקוח ובקרה על יישומם של הנהלים האמורים או לתיעוד פעולת המנגנונים שנקבעו, כאמור באותו פרט 640,000 ,5.  דרישה לגיבוש, לאישור בידי הנהלת הארגון, לעדכון1 אחת לשנה, או ליישום של מדיניות ונהלים לבקרת גישה 9)(א) לתוספת הרביעית, או דרישה לקביעת( כמפורט בפרט מנגנונים לפיקוח ובקרה על יישומם של המדיניות והנהלים האמורים ולתיעוד פעולת המנגנונים שנקבעו, כאמור באותו פרט 640,000 5.  דרישה להטמעה ויישום טכנולוגי של אמצעי אימות2 9)(ב) לתוספת הרביעית, בכל( מתקדמים, כמפורט בפרט גישה כאמור באותו פרט ובאופן האמור בו 640,000 1403 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים 5.  דרישה לניהול זהויות וגישה, ובכלל זה דרישה3 לכתיבה, לאישור בידי הנהלת הארגון, לעדכון, אחת לשנתיים, או להטמעה של נהלים לניהול מחזור החיים של ,9)(ג) לתוספת הרביעית( זהויות דיגיטלית, כמפורט בפרט או דרישה לקביעת מנגנונים לפיקוח ובקרה על יישומם ,של הנהלים האמורים ולתיעוד פעולת המנגנונים שנקבעו כאמור באותו פרט 320,000 ,5.  דרישה לקביעה, לאישור בידי הנהלת הארגון, לעדכון4 אחת לשנתיים, או להטמעה של נהלים לאכיפה שוטפת 9(ד) לתוספת של מדיניות בקרת הגישה, כמפורט בפרט ,הרביעית, או דרישה לשימוש באמצעי לניהול חשבונות כמפורט באותו פרט 640,000 ,55.  דרישה לקביעה, לאישור בידי הנהלת הארגון, לבחינה אחת לשנה, או להטמעה של נהלים לאבטחת מרכזי )9)(ה( המחשבים שבהם נמצאים נכסי סייבר, כמפורט בפרט לתוספת הרביעית, או דרישה לביצוע בקרה על יישומם של הנהלים האמורים ותיעודה, כאמור באותו פרט 320,000 ,5.  דרישה לקביעה, לאישור בידי הנהלת הארגון, לעדכון6 אחת לשנתיים, או להטמעה של נהלים לביצוע בדיקות רקע או מהימנות לעובדים בישראל, מנהלים בישראל או עובדי ספקים הפועלים מול הארגון בישראל, מזמן לזמן, כמפורט 9)(ו) לתוספת הרביעית, או דרישה לביצוע בקרה על( בפרט יישומם של הנהלים האמורים ותיעודה, כאמור באותו פרט 320,000 ,5.  דרישה לקביעה, לאישור בידי הנהלת הארגון, לעדכון7 אחת לשנתיים, או להטמעה של נהלים לניהול מחזור חיי 9)(ז) לתוספת( העובד בהקשר של הגנת סייבר, כמפורט בפרט הרביעית, וכן דרישה לביצוע בקרה על יישומם, אחת לשנה לפחות, כאמור באותו פרט 320,000 'חלק ב 'טור א הדרישה שלא קוימה 'טור ב )סכום העיצום הכספי (בשקלים חדשים 1404 תוספת שביעית )52 (סעיף 'טור א הנחיות 'טור ב המסמך לעניין מגזר השירותים הדיגיטליים ושירותי האחסון .1 הארגון מיישם את הדרישות לצורך עמידה בתקן של המכון הלאומי לתקניםNIST SP 800-53 ) בעניין בקרות אבטחהNIST( וטכנולוגיה של ארה"ב NIST 800-( ופרטיות בעבור מערכות מידע וארגונים 53 Security and Privacy Controls for Information Systems and Organizations (control baseline for ), שאושר על ידי המכוןimpact‏( Moderate or High) האמור ועומד לעיון הציבור באתר המכון, על עדכוניו מזמן לזמן :אחד מאלה FedRAMP )  אישור על הימצאות הארגון ברשימת1( Fedramp המפורסמת באתר האינטרנט שלMarketplace , בצירוף תצהיר מאת נושא משרהAuthorized בסטטוס ) נושא משרה- (בתוספת זו49 בארגון כמשמעותו בסעיף ;לעניין הימצאות הארגון ברשימה כאמור ), המעיד על עמידתAssessment( )  אישור בדיקה מפורט2( control baselines for Moderate הארגון בדרישות תקן , בשירותי הליבה שלוor High impact NIST 800-53 3PAO (Third-Party Assessment Organization) מטעם American Association forבלתי תלוי והמוכר על ידי ה־ ; בצירוף תצהיר מאתLaboratory Accreditation (A2LA) נושא משרה לעניין עמידת הארגון בדרישות התקן בשירותי ;הליבה שלו כאמור ), המעיד על עמידתAssessment( )  אישור בדיקה מפורט3( control baselines for Moderate or הארגון בדרישות תקן בשירותי הליבה שלו, מטעםHigh impact NIST 800-53 גוף בדיקות סייבר באיחוד האירופי, בלתי תלוי, העומד European והמוכר לעניין זה על ידיISO/IEC 17020 בתקן ; בצירוף תצהיר מאתco-operation for Accreditation נושא משרה לעניין עמידת הארגון בדרישות התקן בשירותי ;הליבה שלו כאמור ), המעיד על עמידתAssessment( )  אישור בדיקה מפורט4( control baselines for Moderate or הארגון בדרישות תקן בשירותי הליבה שלו, מטעםHigh impact NIST 800-53 ISO/ גוף בדיקות סייבר ישראלי בלתי תלוי העומד בתקן אשר הוסמך לעניין זה על ידי הרשות הלאומיתIEC 17020 להסמכת מעבדות שהוקמה לפי חוק הרשות הלאומית הרשות- (להלן34‏1997-להסמכת מעבדות, התשנ"ז להסמכת מעבדות); על הסמכה כאמור יחולו ההוראות לפי החוק, בשינויים המחויבים; הרשות להסמכת מעבדות תקבע כללים לעניין הסמכה של גופים כאמור בהסכמת מערך הסייבר הלאומי, בצירוף תצהיר מאת נושא משרה לעניין עמידת הארגון בדרישות התקן בשירותי הליבה שלו כאמור .156 'ס"ח התשנ"ז, עמ 34 1405 'טור א הנחיות 'טור ב המסמך .2 :הארגון עומד בכל אלה )  הארגון עומד בדרישות לצורך עמידה באחד1( :מתקני הליבה שלהלן של ארגוןISO/IEC 27001 (א)  תקן מספר ) והנציבות הבין־לאומיתISO( התקינה הבין־לאומי ) בעניין אבטחת מידע, הגנתIEC( לאלקטרוטכניקה מערכות ניהול אבטחת- סייבר והגנת הפרטיות דרישות, שאושר על ידי הארגון והנציבות- מידע האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; או של מכון התקנים27001 תקן ישראלי מספר ת"י הישראלי, המאמץ את התקן הבין־לאומי בעניין - אבטחת מידע, הגנת סייבר והגנת הפרטיות דרישות, שאושר- מערכות ניהול אבטחת מידע על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן :כל אלה )  תעודת הסמכה בתוקף, שניתנה או חודשה לארגון1( החודשים האחרונים, על ידי גוף הסמכה36 במהלך ) בעל אקרדיטציה מתאימה מטעםCertification Body( ;)IAF - פורום האקרדיטציה הבין־לאומי (בתוספת זו SoA - Statement of( )  אישור על ישימות התקן2( Annex A) המפרטת את כלל בקרות ה־Applicability הרלוונטיות לתחומי פעילות הארגון בלא אי־התאמות ;) פתוחותMajor Non-conformities( קריטיות של האיגוד הבין־ISA/IEC 62443 (ב)  תקן מספר ) והנציבות הבין־לאומיתISA( לאומי לאוטומציה ) בעניין אבטחת מערכותIEC( לאלקטרוטכניקה אוטומציה ובקרה תעשייתית, שאושר על ידי האיגוד והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הנציבות האמורה, על עדכוניו של62443 מזמן לזמן; או תקן ישראלי מספר ת"י מכון התקנים הישראלי, המאמץ את התקן הבין־ לאומי בעניין אבטחת מערכות אוטומציה ובקרה תעשייתית, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של אותו מכון, על עדכוניו מזמן לזמן :כל אלה )  תעודת הסמכה בתוקף, שניתנה או חודשה לארגון או1( החודשים האחרונים על ידי גוף36 לשירות ליבה במהלך ) בעל אקרדיטציה מתאימהCertification Body( הסמכה , המעידה על עמידה בחלקיIAF או ה־IECEEמטעם ה־ ;התקן הרלוונטיים )  צירוף דוח מבדק מסכם המאשר עמידה ברמת2( ) הנדרשת וללא אי־התאמותSecurity Level( האבטחה ;) פתוחותMajor Non-conformities( קריטיות CIS Critical Security Controls- (ג)  הנחיה של המרכז- Implementation Group 3 (IG3) ) בעניין בקרות אבטחהCIS( לאבטחת אינטרנט קריטיות ליישום מתקדם, שאושר על ידי המרכז האמור ועומדת לעיון הציבור באתר האינטרנט של המרכז האמור, על עדכוניה מזמן לזמן ) מלאAttestation of Compliance( דוח אימות תאימות החודשים האחרונים על12 , שניתן במהלךIG3 בעבור רמת ידי גוף ביקורת חיצוני ובלתי תלוי, המחזיק בחברות פעילה , המעיד על יישום מלא של כלל בקרותCIS SecureSuiteב־ )Major Gaps( , בלא אי־התאמות קריטיותSafeguardsה־ פתוחות; בצירוף תצהיר מאת נושא משרה לעניין עמידת ;הארגון ביישום מלא של כלל הבקרות כאמור Cybersecurity Maturity Model (ד)  הנחיה , של משרד ההגנהCertification (CMMC) Level 3 ) בעניין הסמכת מודל בשלותDoD( האמריקאי להגנת סייבר ברמת מומחה, שאושר על ידי המשרד האמור ועומד לעיון הציבור באתר האינטרנט של המשרד האמור, על עדכוניה מזמן לזמן , שניתנהCMMC Level 3 תעודת הסמכה בתוקף לדרגה החודשים האחרונים על ידי36 או חודשה לארגון במהלך DIBCAC) באמצעות ה־DoD( משרד ההגנה האמריקאי (Defense Contract Management Agency - Defense )Industrial BaseCybersecurity Assessment Center ;ובלא אי־התאמות קריטיות פתוחות 1406 'טור א הנחיות 'טור ב המסמך AICPA SOC 2 Type 2 )  הארגון עומד במבדק2( של אגודת רואי- Trust Services Criteria Report ) בעניין דיווחAICPA( החשבון המוסמכים האמריקאית על בקרות בארגון שירות בהתבסס על קריטריונים של שירותי אמון, שאושר על ידי האגודה האמורה ועומד ,לעיון הציבור באתר האינטרנט של האגודה האמורה על עדכוניו מזמן לזמן , שנערך על ידי משרדAttestation דוח אימות תאימות ,35‏1559-רואי חשבון כהגדרתו בחוק רואי חשבון, התשט"ו ,AICPA) מוסמך בעל אקרדיטציה מטעם ה־CPA firm( חודשים ממועד סיום תקופת הביקורת24 ולא חלפו מעל המפורטת בו; הדוח האמור יכלול לכל הפחות את עקרונות , ויאשרConfidentiality ו־Security ,Availability :הבקרה ;את אפקטיביות הבקרות לאורך תקופת הביקורת )  הארגון מיישם את אחת החלופות לעניין ניהול3( :תקרית שלהלן של ארגוןISO/IEC 27035 (א)  תקן מספר ) והנציבות הבין־לאומיתISO( התקינה הבין־לאומי ) בעניין ניהול תקריות אבטחתIEC( לאלקטרוטכניקה עקרונות ותהליכים, שאושר על ידי הארגון- מידע והנציבות האמורים ועומד לעיון הציבור באתר ;האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן של מכון התקנים27035 או תקן ישראלי מספר ת"י ISO/IEC הישראלי, המאמץ את התקן הבין־לאומי עקרונות- בעניין ניהול תקריות אבטחת מידע27035 ותהליכים, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן. החודשים האחרונים12 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי, המעיד כי תהליכי ההיערכות לניהול אירועי סייבר מיושמים בפועל בהלימה לדרישות התקן; על התצהיר או דוח הביקורת לפרט את ,קיומם של מנגנונים סדורים לניטור, זיהוי, דיווח, סיווג ,)Cyber Events( הערכה, תגובה ותיעוד של אירועי סייבר בצירוף תצהיר מאת נושא משרה לעניין הלימה לדרישות התקן של תהליכי ההיערכות לניהול אירועי סייבר ;המיושמים בפועל כאמור ) בחלק2( (ב)  עמידה בדרישות ההגנה המנויות בפרט א' לתוספת הרביעית ,דוח ביקורת תקופתי על ידי גוף בודק חיצוני ובלתי תלוי החודשים האחרונים, המעיד על עמידה12 שניתן במהלך ) בחלק א' לתוספת2( נאותה בכלל הדרישות הקבועות בפרט הרביעית, בצירוף תצהיר מאת נושא משרה לעניין עמידה ;נאותה בכלל הדרישות הקבועות כאמור )  הארגון עומד באחת החלופות לעניין רציפות4( :תפקודית שלהלן של ארגון התקינהISO 22301 (א)  תקן מספר מערכות- ) בעניין אבטחה וחוסןISO( הבין־לאומי דרישות, שאושר על- ניהול רציפות עסקית ידי הארגון האמור, העומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן של מכון22301 לזמן; או תקן ישראלי מספר ת"י התקנים הישראלי, המאמץ את התקן הבין־לאומי מערכות ניהול- בעניין אבטחה וחוסןISO 22301 דרישות, שאושר על ידי מכון- רציפות עסקית התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן. 36 תעודת הסמכה שניתנה או חודשה לארגון במהלך Certification( החודשים האחרונים על ידי גוף הסמכה , בלא אי־IAF) בעל אקרדיטציה מתאימה מטעם ה־Body ;) פתוחותMajor Non- conformities( התאמות קריטיות .26 'ס"ח התשט"ו, עמ 35 1407 'טור א הנחיות 'טור ב המסמך של ארגון התקינהISO/IEC 27031 (ב)  תקן מספר ) והנציבות הבין־לאומיתISO( הבין־לאומי - ) בעניין טכנולוגיית המידעIEC( לאלקטרוטכניקה קווים מנחים למוכנות טכנולוגיות- שיטות אבטחה המידע והתקשורת לרציפות עסקית, המצוי באתר האינטרנט של הארגון האמור, על עדכוניו מזמן של מכון27031 לזמן; או תקן ישראלי מספר ת"י התקנים הישראלי, המאמץ את התקן הבין־לאומי שיטות- בעניין טכנולוגיית המידעISO/IEC 27031 קווים מנחים למוכנות טכנולוגיות המידע- אבטחה והתקשורת לרציפות עסקית, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים12 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי, המעיד כי טכנולוגיות ) של הארגון תוכננו ותוחזקוICT( המידע והתקשורת בהתאם לעקרונות מוכנות טכנולוגיות המידע והתקשורת ), כמפורט בתקן. על המסמך לכלולIRBC( להמשכיות עסקית ניתוח פערים אל מול בקרות המוכנות, אישור לקיום ניתוח ), קיומן של אסטרטגיות התאוששותBIA( השפעה עסקי הארגוניים, בצירוף תצהירRTO/RPOמותאמות ליעדי ה־ מאת נושא משרה לעניין תכנון ותחזוק טכנולוגיות מידע ;והתקשורת בהתאם לעקרונות כמפורט בתקן כאמור )3( (ג)  עמידה בדרישות ההגנה המנויות בפרט בחלק א' לתוספת הרביעית ,דוח ביקורת תקופתי על ידי גוף בודק חיצוני ובלתי תלוי החודשים האחרונים, המעיד על עמידה12 שניתן במהלך ) בחלק א' לתוספת3( נאותה בכלל הדרישות הקבועות בפרט הרביעית, בצירוף תצהיר מאת נושא משרה לעניין עמידה בדרישות הקבועות כאמור. 5)  הארגון עומד באחת החלופות לעניין שרשרת( :אספקה שלהלן של ארגוןISO/IEC 27036-3 (א)  תקן מספר ) והנציבות הבין־לאומיתISO( התקינה הבין־לאומי יחסי- ) בעניין אבטחת סייברIEC( לאלקטרוטכניקה : קווים מנחים לאבטחת שרשרת3 חלק- ספקים האספקה של חומרה, תוכנה ושירותים, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו חלק27036 מזמן לזמן; או תקן ישראלי מספר ת"י של מכון התקנים הישראלי, המאמץ את התקן3 בעניין אבטחתISO/IEC 27036-3 הבין־לאומי : קווים מנחים לאבטחת3 חלק- יחסי ספקים- סייבר ,שרשרת האספקה של חומרה, תוכנה ושירותים שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן ,)Attestation( דוח מבדק התאמה עדכני או אישור בחינה החודשים האחרונים על ידי גוף ביקורת12 שנערכו במהלך עצמאי בתחומי הגנת הסייבר, המאשר כי הארגון הטמיע את בקרות אבטחת שרשרת האספקה של טכנולוגיות המידע ), בהתאם להנחיות חלק שלוש לתקן. עלICT( והתקשורת הדוח לכלול הוכחות לניהול סיכוני ספקים, בקרת שלמות רכיבים ותהליכי רכישה מאובטחים, בצירוף תצהיר מאת נושא משרה לעניין הטמעת בקרות שרשרת האספקה של הטכנולוגיות המידע והתקשורת בהתאם להנחיות ;האמורות 1408 'טור א הנחיות 'טור ב המסמך של ארגוןISO/IEC 27036-4 (ב)  תקן מספר ) והנציבות הבין־לאומיתISO( התקינה הבין־לאומי ) בעניין אבטחת מידע, הגנתIEC( לאלקטרוטכניקה אבטחת מידע ליחסי- סייבר והגנת הפרטיות ,: קווים מנחים לאבטחת שירותי ענן4 חלק- ספקים שאושר על ידי הארגון והנציבות האמורים ועומד ,לעיון הציבור באתר האינטרנט של הארגון האמור על עדכוניו מזמן לזמן; או תקן ישראלי מספר ת"י של מכון התקנים הישראלי, המאמץ את4 חלק27036 בעניין אבטחתISO/IEC 27036-4 התקן הבין־לאומי אבטחת מידע- מידע, הגנת סייבר והגנת הפרטיות : קווים מנחים לאבטחת4 חלק- ליחסי ספקים שירותי ענן, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן :כל אלה )  דוח מבדק התאמה עדכני או אישור בחינה1( החודשים האחרונים על24 ), שנערכו במהלךAttestation( ידי גוף ביקורת עצמאי בתחומי הגנת הסייבר, המאשר כי ; של התקן הוטמעו בארגון4 הבקרות בחלק ) המפרט את ההתייחסותSoA( )  אישור על ישימות התקן2( לבקרות שירותי הענן וניהול הספקים בהתאם להנחיות חלק ; בתקן, ללא אי־התאמות פתוחות4 )  צירוף תצהיר מאת נושא משרה לעניין הטמעה של3( ; של התקן בארגון כאמור4 הבקרות בחלק (ג)  מתודת שרשרת אספקה של מערך הסייבר (פלטינה), רמתA מודל רוחבי, סוג- הלאומי , בעניין ניהול ההגנה בסייבר על שרשרת2 סיכון האספקה, המגדירה סט בקרות סדור לבחינת חוסנם של ספקים ועמידותם בפני תקיפות סייבר, כפי שפורסמה על ידי המערך, העומדת לעיון הציבור באתר המערך, על עדכוניה מזמן לזמן אישור עמידה במתודת מערך הסייבר הלאומי, המאשר כי " ברמת סיכוןA סוג- הארגון עומד בדרישות "מודול רוחבי החודשים האחרונים על ידי24 , שניתן או חודש במהלך2 גוף התעדה נבחר, הנכלל ברשימת מבצעי הפעילויות אישור ;עמידה במתודה, המפורסמת באתר האינטרנט של המערך )4( (ד)  עמידה בדרישות ההגנה המנויות בפרט בחלק א' לתוספת הרביעית ,דוח ביקורת תקופתי על ידי גוף בודק חיצוני ובלתי תלוי החודשים האחרונים, המעידים על עמידה12 שניתן במהלך בחלק א' לתוספת4 נאותה בכלל הדרישות הקבועות בפרט הרביעית, בצירוף תצהיר מאת נושא משרה לעניין עמידה נאותה בדרישות כאמור. )  הארגון עומד באלה, בהתאם לסוג השירות שהוא6( :מספק ועומד בתקן מספרIXP (א)  הארגון מספק שירותי של ארגון התקינה הבין־לאומיISO/IEC 27033 ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( ) בעניין אבטחת רשתות, שאושר על ידי הארגוןIEC( והנציבות האמורים ועומד לעיון הציבור באתר ;האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן של מכון התקנים27033 או תקן ישראלי מספר ת"י ISO/IEC הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת רשתות, שאושר על ידי מכון27033 התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן. על המסמך להביע כי תשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגים, בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות אבטחת הרשת של ;הארגון בהתאם להנחיות התקן כאמור ועומד בתקןTLD (ב)  הארגון מספק שירותי ICANN Registry Operator Accreditation (Registry Agreement) ) חתום ובתוקף מולRegistry Agreement( הסכם רישום Compliance( , המלווה בדוחות תאימותICANN תאגיד )SLAs( ) המעידים על עמידה במדדי רמת השירותReports ;הטכניים והתפעוליים הנדרשים 1409 'טור א הנחיות 'טור ב המסמך Domain Registrars (ג)  הארגון מספק שירותי ICANN Registry Operator ועומד בהסכם של תאגידAccreditation (Registry Agreement) )ICANN( האינטרנט להקצאת שמות ומספרים בעניין הסכם רישום למפעילי מאגרי שמות מתחם ), שאושר על ידי התאגיד האמור ועומדRegistry( ,לעיון הציבור באתר האינטרנט של התאגיד האמור על עדכוניו מזמן לזמן , המעיד על מעמדICANNהסכם חתום ובתוקף מטעם ה־ ), בסטטוסAccredited Registrar( הארגון כרשם מוסמך )Notice of Breach( " בלא הודעות הפרהIn Compliance" ;פתוחות ועומד בתקןDNS Provider (ד)  הארגון הוא של ארגון התקינהISO/IEC 27033 בתקן מספר ) והנציבות הבין־לאומיתISO( הבין־לאומי ,) בעניין אבטחת רשתותIEC( לאלקטרוטכניקה שאושר על ידי הארגון והנציבות האמורים ועומד ,לעיון הציבור באתר האינטרנט של הארגון האמור על עדכוניו מזמן לזמן; או תקן ישראלי מספר ת"י של מכון התקנים הישראלי, המאמץ את התקן27033 , בעניין אבטחת רשתותISO/IEC 27033 הבין־לאומי שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן; על המסמך להתייחס לכך שתשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים, בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות אבטחת הרשת של ;הארגון בהתאם להנחיות התקן כאמור (ה)  הארגון מספק שירותי אמון ומיישם את אחד :מהתקנים האלה של מכוןETSI EN 31 9401 )  תקן מספר1( ) בענייןETSI( התקנים האירופי לתקשורת ); דרישותESI( חתימות אלקטרוניות ותשתיות מדיניות כלליות לספקי שירותי אמון, שאושר על ידי המכון האמור ועומד לעיון הציבור באתר האינטרנט של המכון האמור, על עדכוניו מזמן לזמן ) בתוקף שניתנהConformity Certificate( תעודת הסמכה החודשים האחרונים, על ידי גוף24 או חודשה במהלך ,) בעל אקרדיטציה מתאימהCAB( להערכת התאמה המעידה כי הארגון מקיים את בקרות התקן בלא חריגות ) המשפיעות על מהימנותNon-conformities( קריטיות ;השירות של מכוןETSI EN 31 9102-1 )  תקן מספר2( ) בעניין נהליםETSI( התקנים האירופי לתקשורת ליצירה ואימות של חתימות דיגיטליות מסוג , שאושר על ידי המכון האמור ועומדAdES ,לעיון הציבור באתר האינטרנט של המכון האמור על עדכוניו מזמן לזמן. ) בתוקף, שניתנהConformity Certificate( תעודת הסמכה החודשים האחרונים, מטעם24 או חודשה לארגון במהלך ) בעל אקרדיטציה רשמית לפיCAB( גוף הערכת תאימות , המעידה על עמידה מלאה בדרישות בלאeIDAS תקנת ;)Non-conformities( חריגות קריטיות ועומדCSP (ו)  הארגון מספק שירותי ענן מסוג :בכל אלה CSA STAR Certification Level )  מבדק1( ) בענייןCSA( של ארגון ברית אבטחת הענן2 ,) (צד שלישי2 הסמכה לאבטחת ענן ברמה שאושר על ידי הארגון האמור ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן. ,) בתוקףConformity Certificate( תעודת הסמכה ) מורשה ובעלCB( שניתנה או חודשה על ידי גוף הסמכה , המעידה על עמידה בבקרותIAFאקרדיטציה מטעם ה־ , בלא אי־התאמותCloud Controls Matrix (CCM)ה־ ;)Non-conformities( קריטיות פתוחות 1410 'טור א הנחיות 'טור ב המסמך של ארגוןISO/IEC 27033 )  בתקן מספר2( ) והנציבות הבין־ISO( התקינה הבין־לאומי ) בעניין אבטחתIEC( לאומית לאלקטרוטכניקה רשתות, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; או של מכון התקנים27033 תקן ישראלי מספר ת"י ISO/ הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת רשתות, שאושר עלIEC 27033 ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן. על המסמך להביע כי תשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים, בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות אבטחת הרשת של ;הארגון בהתאם להנחיות התקן כאמור ועומדSaas/Paas (ז)  הארגון מספק שירותי ענן מסוג :באחד מאלה של ארגוןISO/IEC 27034 )  תקן מספר1( ) והנציבות הבין־ISO( התקינה הבין־לאומי ) בעניין אבטחתIEC( לאומית לאלקטרוטכניקה אפליקציות (יישומים), שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן של מכון27034 לזמן; או תקן ישראלי מספר ת"י התקנים הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת אפליקציותISO/IEC 27034 (יישומים), שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן ) חתום על ידיCompliance Report( דוח מבדק התאמה , החודשים האחרונים24 גוף ביקורת חיצוני, שניתן במהלך Application Securityהמעיד על יישום של מסגרת ה־ בצירוף תיעוד רכיבי אבטחת היישומיםFramework (ASF) ) והוכחות לשילוב בקרות אבטחה בתהליכי מחזורASC( חיי הפיתוח הארגוניים. על הדוח לשקף עמידה בדרישות הרלוונטיות מתוך חלקי התקן השונים, בצירוף תצהיר מאת נושא משרה לעניין עמידת הארגון בדרישות הרלוונטיות ;מתוך חלקי התקן השונים OWASP של קרןOWASP SAMM )  הנחיה2( Software( בעניין מודל בשלות לאבטחת תוכנה ), שאושר על ידיAssurance Maturity Model קרן זו ועומדת לעיון הציבור באתר האינטרנט של הקרן האמורה, על עדכוניה מזמן לזמן ) חתום עלMaturity Model( דוח הערכת בשלות מפורט החודשים24 ידי גוף חיצוני ובלתי תלוי, שניתן במהלך תחומי האבטחה15 האחרונים, ומעיד על רמת היישום של OWASP) המוגדרים במודל ה־Security Practices( , בצירוף תצהיר מאת נושא משרה לעניין עמידתSAMM ;הארגון בדרישות המודל שלNIST SSDF (SP 800-218) )  הנחיה3( )NIST( המכון הלאומי לתקנים וטכנולוגיה Secure( בעניין מסגרת לפיתוח תוכנה מאובטחת ), שאושרSoftware Development Framework על ידי המכון האמור ועומדת לעיון הציבור באתר האינטרנט של המכון האמור, על עדכוניה מזמן לזמן דוח ביקורת של גוף בלתי תלוי המעיד כי תהליכי הפיתוח SSDF (Prepare theעומדים בפרקטיקות המוגדרות ב־ Organization, Protect the Software, Produce Well- ), בצירוףSecured Software, Respond to Vulnerabilities תצהיר מאת נושא משרה לעניין עמידת הארגון בפרקטיקות האמורות. )5( )  עמידה בדרישות ההגנה המנויות בפרט4( בחלק א' לתוספת הרביעית החודשים האחרונים12 דוח ביקורת תקופתי שניתן במהלך על ידי גוף בודק חיצוני ובלתי תלוי, המעיד על עמידה 5) בחלק א' לתוספת( נאותה בכלל הדרישות הקבועות בפרט הרביעית, בצירוף תצהיר מאת נושא משרה לעניין עמידה ;בדרישות האמורות ועומד בכלData Centers (ח)  הארגון מספק שירותי :אלה 1411 'טור א הנחיות 'טור ב המסמך של ארגוןISO/IEC 27033 )  בתקן מספר1( ) והנציבות הבין־ISO( התקינה הבין־לאומי ) בעניין אבטחתIEC( לאומית לאלקטרוטכניקה רשתות, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; או של מכון התקנים27033 תקן ישראלי מספר ת"י ISO/ הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת רשתות, שאושר עלIEC 27033 ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן. החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן; על המסמך להתייחס לכך שתשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים, בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות אבטחת הרשת של הארגון בהתאם להנחיות התקן כאמור. :)  אחד מהתקנים שלהלן2( של איגוד תעשייתANSI/TIA 942 (א)  תקן ) בעניין תקן תשתיתTIA( הטלקומוניקציה ,)Data Centers( טלקומוניקציה למרכזי נתונים שאושר על ידי האיגוד האמור ועומד לעיון ,הציבור באתר האינטרנט של האיגוד האמור על עדכוניו מזמן לזמן. ) בתוקף, שניתנה אוAudit Certificate( תעודת הסמכה החודשים האחרונים על ידי גוף הסמכה36 חודשה במהלך ) הפועל מטעם תוכניתCertification Body( מורשה Rated( , המציינת את רמת הדירוגTIA האקרדיטציה של ובלא אי־התאמותData Center) של שירות ה־Level קריטיות פתוחות. של ארגוןISO/IEC 22237 (ב)  תקן מספר ) והנציבות הבין־ISO( התקינה הבין־לאומי ) בענייןIEC( לאומית לאלקטרוטכניקה מיתקנים ותשתיות של- טכנולוגיית מידע מרכזי נתונים, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן החודשים36 תעודת הסמכה שניתנה או חודשה במהלך ) בעלCertification Body( האחרונים, על ידי גוף התעדה , המעידה כי מיתקן ה־IAFאקרדיטציה רשמית מטעם ה־ עומד בדרישות התכנון, התשתית והתפעולData Center ) וההגנהAvailability Classes( בהתאם לרמות הזמינות הפיזית הנדרשות, ובלא אי־התאמות קריטיות פתוחות. ועומד בתקן מספרCDN (ט)  הארגון מספק שירותי של ארגון התקינה הבין־לאומיISO/IEC 27033 ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( ) בעניין אבטחת רשתות, שאושר על ידי הארגוןIEC( והנציבות האמורים ועומד לעיון הציבור באתר ;האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן של מכון התקנים27033 או תקן ישראלי מספר ת"י ISO/IEC הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת רשתות, שאושר על ידי מכון27033 התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן. על המסמך להביע כי תשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים; הדוח האמור יוגש בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות ;אבטחת הרשת של הארגון בהתאם להנחיות התקן כאמור ועומד בתקן מספרMSP (י)  הארגון מספק שירותי של ארגון התקינה הבין־לאומיISO/IEC 27043 ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( ) בעניין עקרונות ותהליכים לחקירת תקריותIEC( אבטחה, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; או תקן ישראלי מספר של מכון התקנים הישראלי, המאמץ את27043 ת"י בעניין עקרונותISO/IEC 27043 התקן הבין־לאומי ותהליכים לחקירת תקריות אבטחה, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן ) חתום על ידיCompliance Report( דוח מבדק התאמה , החודשים האחרונים24 גוף ביקורת חיצוני, שניתן במהלך Application Securityהמעיד על יישום של מסגרת ה־ בצירוף תיעוד רכיבי אבטחת היישומיםFramework (ASF) ) והוכחות לשילוב בקרות אבטחה בתהליכי מחזורASC( חיי הפיתוח הארגוניים. על הדוח לשקף עמידה בדרישות הרלוונטיות מתוך חלקי התקן השונים, בצירוף תצהיר מאת נושא משרה לעניין עמידת הארגון בדרישות הרלוונטיות מתוך חלקי התקן השונים. 1412 'טור א הנחיות 'טור ב המסמך מרחוק, ועומדMSP (יא)  הארגון מספק שירותי של ארגון התקינהISO/IEC 27033 בתקן מספר ) והנציבות הבין־לאומיתISO( הבין־לאומי ,) בעניין אבטחת רשתותIEC( לאלקטרוטכניקה שאושר על ידי הארגון והנציבות האמורים ועומד ,לעיון הציבור באתר האינטרנט של הארגון האמור על עדכוניו מזמן לזמן; או תקן ישראלי מספר ת"י של מכון התקנים הישראלי, המאמץ את התקן27033 , בעניין אבטחת רשתותISO/IEC 27033 הבין־לאומי שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן. על המסמך להביע כי תשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים, בצירוף תצהיר מאת נושא משרה לעניין תיכנון ויישום של בקרות אבטחת הרשת של הארגון בהתאם להנחיות התקן כאמור. ועומד בתקןMSSP (יב)  הארגון מספק שירותי של ארגון התקינה הבין־לאומיISO/IEC 27043 מספר ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( ) בעניין עקרונות ותהליכים לחקירת תקריותIEC( אבטחה, שאושר על ידי הארגון והנציבות האמורים ועומד לעיון הציבור באתר האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן; או תקן ישראלי מספר של מכון התקנים הישראלי, המאמץ את27043 ת"י בעניין עקרונותISO/IEC 27043 התקן הבין־לאומי ותהליכים לחקירת תקריות אבטחה, שאושר על ידי מכון התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן. החודשים36 דוח תקופתי שניתן או חודש במהלך האחרונים על ידי גוף ביקורת חיצוני ובלתי תלוי, המעיד כי תהליכי החקירה הדיגיטלית וההיערכות לאירועים בארגון תואמים את עקרונות התקן. על הדוח האמור לכלול Digital( פירוט של המתודולוגיה לטיפול בראיות דיגיטליות ) ולאשר כי הבקרות מיושמות בלא אי־התאמותEvidence קריטיות פתוחות, בצירוף תצהיר מאת נושא משרה לעניין התאמת תהליכי החקירה הדיגיטלית וההיערכות לאירועים בארגון לעקרונות התקן כאמור. ועומד בתקןMSSP (יג)  הארגון מספק שירותי של ארגון התקינה הבין־לאומיISO/IEC 27033 מספר ) והנציבות הבין־לאומית לאלקטרוטכניקהISO( ) בעניין אבטחת רשתות, שאושר על ידי הארגוןIEC( והנציבות האמורים ועומד לעיון הציבור באתר ;האינטרנט של הארגון האמור, על עדכוניו מזמן לזמן של מכון התקנים27033 או תקן ישראלי מספר ת"י ISO/IEC הישראלי, המאמץ את התקן הבין־לאומי בעניין אבטחת רשתות, שאושר על ידי מכון27033 התקנים הישראלי ועומד לעיון הציבור בספרייה ובאתר האינטרנט של מכון התקנים הישראלי, על עדכוניו מזמן לזמן החודשים האחרונים36 דוח ביקורת תקופתי שניתן במהלך על ידי גוף ביקורת חיצוני ובלתי תלוי המוסמך מטעם , המעיד כי בקרות אבטחת הרשת של הארגון תוכננוIAFה־ ויושמו בהתאם להנחיות התקן. על המסמך להביע כי תשתית הרשת נסקרת כחלק ממערך ניהול אבטחת המידע )SoA( ) תוך הלימה מלאה להצהרת הישימותISMS( הארגונית ועדכונים טכנולוגיים, בצירוף תצהיר מאת נושא משרה לעניין תכנון ויישום של בקרות אבטחת הרשת של הארגון בהתאם להנחיות התקן כאמור. סודר במחלקת רשומות, משרד המשפטים, והודפס במדפיס הממשלתי