הצעת חוק לקריאה הראשונה

PDF 29,114 תווים המסמך המקורי ↗
רשומות הצעות חוק ה מ מ ש ל ה 2023 בדצמבר6 1688 כ"ג בכסלו התשפ"ד עמוד הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון 358 ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸2023- חרבות ברזל), התשפ"ד- הנידמה למס(הוראת שעה העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו358 :מתפרסמת בזה הצעת חוק מטעם הממשלה הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים ,) חרבות ברזל- הדיגיטליים ושירותי האחסון (הוראת שעה 2023-התשפ"ד 6.12.2023 ,, כ"ג בכסלו התשפ"ד1688 - הצעות חוק הממשלה הגדרות 1.- בחוק זה ; כהגדרתם בחוק המחשבים- ""חומר מחשב", "מחשב", "פלט" ו"תוכנה ,)2023 באוקטובר7( ביום כ"ב בתשרי התשפ"ד כללי פתחו ארגוני טרור במתקפה רצחנית נגד כוחות הביטחון ואזרחי מדינת ישראל. מתקפה זו גבתה את חייהם של מאות אזרחים ושיבשה את מערך החיים בחזית ובעורף ,במדינה. בעקבות מתקפה זו הכריז שר הביטחון, באותו היום )1()ג(ב9 על מצב מיוחד בעורף, מכוח סמכותו לפי סעיף 1. בהתאם לסעיף951-לחוק ההתגוננות האזרחית, התשי"א ) לאותו חוק, החליטה ועדת החוץ והביטחון של5()ג(א9 ,)2023 1 באוקטובר2( הכנסת, ביום כ"ז בתשרי התשפ"ד לאשר את ההכרזה בשטחה של כל מדינת ישראל, והכרזה זו מוארכת מזמן לזמן. כמו כן, הוכרז בצבא הגנה לישראל צה"ל) על מבצע "חרבות ברזל", וועדת השרים- (להלן לענייני ביטחון לאומי החליטה על נקיטת פעולות צבאיות , לחוק־יסוד: הממשלה40 משמעותיות, בהתאם לסעיף והודיעה לגביהן לוועדת החוץ והביטחון של הכנסת ביום הפעולות- ) (להלן2023 באוקטובר8( כ"ג בתשרי התשפ"ד הצבאיות המשמעותיות). במסגרת הפעולות הצבאיות המשמעותיות המתמשכות מאז המועד האמור, מתחוללת עלייה גם בהיקף ובעוצמה של תקיפות סייבר נגד גופים אזרחיים במשק הישראלי. מטרת תקיפות סייבר אלה היא לפגוע, כחלק מהמתקפה המשולבת המכוונת כלפי חוסנה של מדינת ישראל, גם בכלכלה ובתפקודו התקין של המשק הישראלי. תקיפות סייבר עלולות להביא לפגיעה במרחב הסייבר, לפגיעה בעולם הפיזי (למשל פגיעה במערכות רפואיות או בתשתיות אנרגיה), לפגיעה קשה בתפקוד המשק, ואף לפגיעה בחיי ,אדם. תקיפות הסייבר הולכות והופכות מתוחכמות יותר ותוצאותיהן קשות יותר ומורכבות יותר לטיפול. ,חברות המספקות שירותים דיגיטליים ושירותי אחסון כהגדרתם בחוק המוצע, מתאפיינות בחיבוריות גבוהה לגופים רבים במשק הישראלי, לרבות משרדי ממשלה וגופים ציבוריים, ובהם גם גופים ביטחוניים, תשתיות ,מדינה קריטיות וארגונים חיוניים לתפקודו של המשק ועוד. בשל חיבוריות זו, הנזק שנגרם מתקיפת חברות אלה עלול להתפשט ולהשפיע על חברות רבות במשק. נוסף על כך, למרות רגישותן וחשיבותן המשקית של חברות אלה, אין כיום גורם ממשלתי האמון על הסדרת פעילותן בכל הנוגע להגנת הסייבר. לעניין חברות כאמור המחזיקות או מעבדות מידע אישי, קיימת הסדרה של פעילות זו על ידי הרשות להגנת הפרטיות. בנסיבות אלה, ספקים של שירותי אחסון ושל שירותים דיגיטליים מהווים יעד מועדף לתקיפות סייבר. בייחוד בתקופת הלחימה הנוכחית, תקיפות סייבר חמורות נגד ,ספקים אלה עלולות להביא לפגיעה רחבה בביטחון המדינה בביטחון הציבור או בקיום האספקה והשירותים החיוניים. כדי להתמודד עם הצורך המתואר לעיל, התקינה ), את2023 בנובמבר27( הממשלה, ביום י"ד בכסלו התשפ"ד תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי ,) תקנות שעת החירום- (להלן2023-האחסון), התשפ"ד ,אשר מסמיכות עובד מוסמך במערך הסייבר הלאומי ,) הגופים- בשירות הביטחון הכללי או במלמ"ב (להלן להודיע לספק על קיומו של חשש לתקיפת סייבר חמורה נגדו, ובהמשך לכך, במקרים מסוימים, לתת לספק הנתקף הוראות לצורך איתור התקיפה, מניעתה או בלימתה. החוק המוצע נועד להחליף את תקנות שעת החירום. מוצע כי אם גורם מוסמך קבע שתקיפת סייבר שמתרחשת או עומדת להתרחש נגד ספק שירותי אחסון או שירותים דיגיטליים, היא תקיפת סייבר חמורה, אזי יוכל עובד מוסמך כהגדרתו המוצעת להודיע לספק על התקיפה. על פי המוצע, הגורם שמוסמך לקבוע אם תקיפת סייבר נגד - ספק כאמור היא תקיפת סייבר חמורה הוא מנהל מוסמך גורם בכיר בתחום הסייבר במערך הסייבר הלאומי, בשירות הגופים), כמפורט- הביטחון הכללי או במלמ"ב (להלן בהגדרה המוצעת. המנהל המוסמך יקבע כי התקיפה היא תקיפת סייבר חמורה אם מצא כי יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, ביטחון הציבור או בקיום ,האספקה והשירותים החיוניים, וזאת בשל מאפייניה לרבות מיתאר התקיפה או זהות התוקף; בשל התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות; ובשל קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף. אם קבע כאמור, יוכל עובד מוסמך מאותו גוף שעימו נמנה המנהל המוסמך, להודיע לספק, על קיומו של חשש כאמור. ,בהמשך לכך, אם הודיע העובד המוסמך כאמור וככל שהספק הנתקף לא יפעל באופן הולם ובתוך פרק זמן סביר לטיפול בתקיפת הסייבר החמורה או יגיש תצהיר בדבר יישום הנחיות אבטחה בתקן רלוונטי (כמפורט להלן להצעת החוק), יהיה רשאי העובד3 בדברי ההסבר לסעיף המוסמך לתת לספק הנתקף הוראות לביצוע פעולה לצורך איתור התקיפה, מניעתה או בלימתה. ד ב ר י ה ס ב ר 359 העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו ;1‏1995- חוק המחשבים, התשנ"ה- ""חוק המחשבים ;2‏1998- חוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח- ""חוק להסדרת הביטחון לחוק להסדרת21 הממונה על הביטחון במערכת הביטחון כמשמעותו בסעיף- ""מלמ"ב ;הביטחון : אחד מאלה או ממלא מקומו- ""מנהל מוסמך ;ראש יחידת המודיעין וההכוונה בחטיבת איומי סייבר בשב"כ 1) ( ;) במערך הסייברIR( ראש מרכז תגובה )2( ;ראש היחידה הטכנולוגית במלמ"ב )3( ; מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון- ""מערך הסייבר : אחד מאלה- ""ספק מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים חיבור 1) ( ,פיזי או לוגי, קבוע או עיתי, או שמתבצעת העברת חומר מחשב קבועה או עיתית ;ממחשבי הספק למחשבי מקבל שירותיו מי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי אחסון )2( ;או שירותים דיגיטליים : כל אחד מאלה- ""עובד מוסמך ,3‏2002-עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב 1) ( שהוסמך בכתב לעניין חוק זה בידי ראש חטיבת איומי סייבר בשב"כ או בידי ;ממלא מקומו עובד מערך הסייבר שהוסמך בכתב לעניין חוק זה בידי ראש חטיבת ההגנה )2( ;במערך הסייבר נוסף על כך, כדי להבטיח כי יינתנו רק ההוראות החיוניות להתמודדות עם תקיפת הסייבר החמורה אשר פגיעתן בנסיבות העניין היא הפחותה ביותר, מוצע לקבוע את השיקולים שנדרש עובד מוסמך לשקול טרם מתן הוראות לספק. כמו כן, מוצע לקבוע הוראות לעניין סודיות המידע שיתקבל מספק, אפשרויות השימוש בו ומחיקתו. הנחת העבודה של גורמי הממשלה הנוגעים בדבר היא שמרבית הספקים יטפלו באופן הולם בתקיפת הסייבר החמורה, בוודאי בעת מלחמה, ואם יבקשו אף יינתן להם סיוע והכוונה על ידי הגופים. ברם, החקיקה נועדה להקנות סמכות, בתקופת החירום הכרוכה בפעולות הצבאיות המשמעותיות, לתת הוראות לספקי שירותים דיגיטליים או שירותי אחסון אשר לא יפעלו כך. בהתאם, מוצע להסדיר את סמכויות מערך הסייבר הלאומי, שירות הביטחון הכללי או הממונה על הביטחון במשרד הביטחון לתת הוראות כאמור, במסגרת הוראת שעה, שתפקע בתום שישה חודשים מיום תחילתו של החוק המוצע, אלא אם כן תוארך תקופת תוקפה על ידי ראש הממשלה, בצו שייקבע בהתייעצות עם שר הביטחון ובאישור ועדת החוץ והביטחון של הכנסת, לתקופות נוספות שלא יעלו על שלושה חודשים כל אחת ולא יותר משישה חודשים במצטבר, אם מצא כי הדבר נדרש עקב התמשכותן של הפעולות הצבאיות המשמעותיות. כאמור החוק המוצע בא להחליף את ההסדר שנקבע בתקנות שעת החירום ועל כן מוצע לבטלן. בסעיף זה מוצע לקבוע הגדרות למונחים שנעשה 1 סעיף בהם שימוש בחוק המוצע. החוק המוצע נועד לחול על מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, בעיקר בשל היותם ,חלק משרשרת האספקה של גופים רבים במשק הישראלי כאשר החיבוריות הגבוהה של ספקים אלה עלולה להיות מנוצלת על ידי תוקפים לגרימת נזק רחב היקף. בהתאם, מוצע להגדיר "ספק", שלגביו יחול החוק המוצע, כמי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים בעבור אחרים וכן מתאפיין בחיבוריות גבוהה .366 'ס"ח התשנ"ה, עמ 1 .348 'ס"ח התשנ"ח, עמ 2 1.79 'ס"ח התשס"ב, עמ 3 ד ב ר י ה ס ב ר העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו360 לתוספת הראשונה לחוק3 ו־2 לעניין ספק של הגופים המנויים בפרטים )3( עובד המלמ"ב שהוסמך בכתב לעניין חוק זה בידי ראש- להסדרת הביטחון ;היחידה הטכנולוגית במלמ"ב מתן הוראות למחשב בשפה קריאת מחשב- ""פעולה להגנת סייבר בחומר מחשב לצורך הגנת סייבר, ובכלל זה הוראה לסריקה, עיבוד, הסרה של חומר מחשב ,הנוגע לתקיפת סייבר, התקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד ;חסימה או ניתוק של מחשב, או יצירת עותק של חומר המחשב הפעולות הצבאיות המשמעותיות שעליהן- ""הפעולות הצבאיות המשמעותיות ,4‏ לחוק־יסוד: הממשלה40 החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף והודיעה לגביהן לוועדת החוץ והביטחון של הכנסת ביום כ"ג בתשרי התשפ"ד ;)2023 באוקטובר8( ; צבא הגנה לישראל- ""צה"ל ; שירות הביטחון הכללי- ""שב"כ שירותי אחסון של חומר מחשב הניתנים בעבור אחר, או שירותי- ""שירותי אחסון ;אספקת תשתית לאחסון או לעיבוד של חומר מחשב : שירות שהוא אחד מאלה, הניתן בעבור אחר- ""שירותים דיגיטליים ;שירותי תוכנה לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח 1) ( שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה )2( ;וטכנולוגיות תקשורת שירותי עיבוד נתונים, הזנתם או שחזורם, התקנה והגדרת תצורה של )3( ;מחשבים, התקנת תוכנה או שירותי הגנת סייבר כאמור (למקבלי השירותים), אשר אינה מזדמנת אלא קבועה או עיתית; וכן כמי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי אחסון או שירותים דיגיטליים. מוצע להגדיר "שירותי אחסון" כשירותי אחסון של חומר מחשב הניתנים בעבור אחר או שירותי אספקת תשתית לאחסון או לעיבוד של חומר מחשב. כמו כן מוצע למנות שורה של שירותים שייחשבו ל"שירותים דיגיטליים" לעניין החוק המוצע. מוצע להגדיר "עובד מוסמך" כעובד מערך הסייבר הלאומי, עובד שירות הביטחון הכללי, ולעניין ספק של בתוספת הראשונה לחוק3 ו־2 הגופים המנויים בפרטים אף עובד המלמ"ב, ובלבד שכל עובד- הסדרת הביטחון כאמור הוסמך בכתב על ידי גורם בכיר בגוף שעימו הוא נמנה, לעניין החוק המוצע. עוד מוצע להגדיר את המונח "פעולה להגנת סייבר בחומר מחשב", אשר בהתקיים התנאים לכך העובד המוסמך יהיה רשאי להורות לספק לבצעה. על פי המוצע פעולה כאמור כוללת מתן הוראות למחשב בשפה קריאת מחשב לצורך הגנת סייבר, ובכלל זה הוראות המנויות בהגדרה המוצעת. לעניין התקנת סוג תוכנה שפעולתה ,מוגבלת לרשת הספק בלבד, אשר נכללת בהגדרה המוצעת יובהר שבהתאם להנחיית היועצת המשפטית לממשלה )2019 1 באוקטובר0( .1 מיום י"א בתשרי התש"ף2500 מספר בדבר "כללים מנחים לגיבוש הסדרים דיגיטליים", שלפיה "הסדר דיגיטלי לא יעדיף ככל הניתן אמצעי טכנולוגי אחד על פני אמצעי טכנולוגי אחר, אם שניהם מגשימים את השימושים והמטרות של אותו ההסדר", מוצע לקבוע שהעובד המוסמך יהיה רשאי להורות על התקנת סוג תוכנה ולא על התקנת תוכנה מסוימת, מקום שבו יש יותר מתוכנה אחת המגשימה את אותם השימושים והמטרות. על פי המוצע, "תקיפת סייבר" היא פעולה או חשש ממשי לפעולה, שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב, לרבות הפעולות המנויות בהגדרה המוצעת. כאמור, מוצע לקבוע שבכל אחד מהגופים יוגדר מנהל :מוסמך שיוקנו לו הסמכויות שלהלן א.  סמכות לקבוע כי תקיפת סייבר שמתרחשת או עומדת להתרחש היא תקיפת סייבר חמורה בהתאם לתנאים ; לחוק המוצע2 המפורטים בסעיף 1.58 'ס"ח התשס"א, עמ 4 ד ב ר י ה ס ב ר 361העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות )4( ;וציוד תעשייתי פעולה או חשש ממשי לפעולה, שנועדה לפגוע שלא כדין בשימוש- ""תקיפת סייבר - במחשב או בחומר מחשב השמור בו, לרבות ;שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו 1) ( ;מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו )2( אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות, בהתאם )3( ;למטרות השימוש בהם ; לחוק המחשבים4 חדירה לחומר מחשב כהגדרתה בסעיף )4( ,האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר )5( ;5‏1979-התשל"ט גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך )6( של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע לרבות בדרך של ;העתקתו, על ידי גורם כאמור הפרעה או מניעה של חיבור של מחשב לרשת תקשורת. )7( תקיפת סייבר חמורה .2 מנהל מוסמך רשאי לקבוע כי תקיפת סייבר שמתרחשת או עומדת להתרחש היא (א) ,תקיפת סייבר חמורה, אם מצא כי יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה - בביטחון הציבור או בקיום האספקה והשירותים החיוניים, ובשל כל אלה (בחוק זה :)תקיפת סייבר חמורה ;התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות 1) ( קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת )2( ;לספק הנתקף מאפייניה, לרבות מיתאר התקיפה או זהות התוקף. )3( ב.  סמכות לקבוע כי מידע שיתקבל לפי חוק זה לא יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה, בשל היותו מידע על התוקף, התקיפה, מאפייני התקיפה, או אמצעי הטיפול בה או מידע אחר שקבע מנהל מוסמך שהוא חיוני לזיהוי מאפייני תקיפת הסייבר, הכול כמפורט לחוק המוצע.6 בסעיף על פי המוצע, המנהל המוסמך במערך הסייבר ) במערך, המנהלIR( הלאומי יהיה ראש מרכז תגובה ,המוסמך במלמ"ב יהיה ראש היחידה הטכנולוגית במלמ"ב ) שב"כ- והמנהל המוסמך בשירות הביטחון הכללי (להלן יהיה ראש יחידת המודיעין וההכוונה בחטיבה לאיומי סייבר בשב"כ. כאמור לעיל, הצעת חוק זו מוצעת על רקע 2 סעיף צורך מבצעי שהתעורר בתקופת הפעולות הצבאיות המשמעותיות וכדי למנוע פגיעה בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים. על כן, מוצע לקבוע שכדי שעובד מוסמך יהיה רשאי לתת הוראות לפי חוק זה, לא די בכך שמתרחשת תקיפת סייבר, אלא נדרש כי מנהל מוסמך יקבע כי קיים חשש ממשי שאותה תקיפה היא תקיפת סייבר חמורה. מנהל מוסמך יוכל לקבוע כי תקיפת סייבר שמתרחשת או עומדת להתרחש היא תקיפת סייבר חמורה, אם מצא כי יש חשש ממשי, על בסיס אינדיקציה מודיעינית או מידע אחר, שיש בה כדי לפגוע בביטחון המדינה, ביטחון הציבור או בקיום האספקה והשירותים החיוניים, וזאת :בשל כל אלה א.  העובדה שהיא מתרחשת במהלך תקופת הפעולות ;הצבאיות המשמעותיות ב.  קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף, כלומר תקיפה 11.8 'ס"ח התשל"ט, עמ 5 ד ב ר י ה ס ב ר העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו362 הסמכות הנתונה למנהל מוסמך לפי סעיף קטן (א) תהיה נתונה לראש חטיבת (ב) הגנה בסייבר בצה"ל, לעניין תקיפת סייבר שהוא מצא כי יש בה כדי לפגוע ברציפות ) של אותו סעיף קטן.3( 1) עד( התפקוד המבצעי של צה"ל, בשל האמור בפסקאות התמודדות עם תקיפת סייבר חמורה .3 , כי תקיפת סייבר שמתרחשת או עומדת להתרחש, נגד ספק2 נקבע לפי הוראות סעיף ,היא תקיפת סייבר חמורה, והודיע על כך עובד מוסמך לספק, לאחר שהזדהה לפניו :יחולו הוראות אלה העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית לקביעה 1) ( ;כאמור, ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים ,העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם לצורך איתור התקיפה )2( מניעתה או בלימתה, בתוך פרק זמן סביר שיימסר לספק, והכול בהתחשב במאפייני ;תקיפת הסייבר ,הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע לצורך איתור התקיפה )3( מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח שבתוספת בדבר אספקת שירותי האחסון או השירותים הדיגיטליים ללקוחותיו, או בדבר אספקת השירותים כאמור שהם מושאי התקיפה בלבד, תוך יישום הנחיות אבטחה בהתאם לתקן NIST 800-53 Security and Privacy Controls for Information Systems and , לעניין כלל השירותים שהוא מספק, או לעניין השירותים כאמור שנגדםOrganizations ;)2( בוצעה התקיפה, והכול בתוך פרק זמן סביר כאמור בפסקה שעלולות להיות לה השלכות על גורמים נוספים. תקיפה תוגדר כבעלת השפעה משמעותית כאמור, בין השאר, אם היא עלולה להתפשט במהירות למחשבים רבים או בשל השפעתה האפשרית על עובדיו של ספק, ספקיו או לקוחות הספק (ובכלל זה, על פעילות גופים חיוניים או תשתיות מדינה קריטיות). ג.  מאפיינים של תקיפת הסייבר, המקנים לה ממד מיוחד של חומרה, כגון מיתאר התקיפה או זהות התוקף. עוד מוצע לקבוע כי הסמכות הנתונה למנהל מוסמך כאמור לקבוע כי תקיפת סייבר מסוימת היא בגדר תקיפת ,סייבר חמורה, תהיה נתונה גם לרח"ט הגנה בסייבר בצה"ל וזאת לעניין תקיפת סייבר שהוא מצא שיש בה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל בשל התנאים כמפורט לעיל. מוצע שאם נקבע כי תקיפת סייבר שמתרחשת או 3 סעיף ,עומדת להתרחש היא תקיפת סייבר חמורה ,והודיע על כך עובד מוסמך לספק, לאחר שהזדהה לפניו יחולו הוראות המסדירות את אופן פעולתו של העובד המוסמך למול הספק, וזאת באופן מדורג, בכמה שלבים :כמפורט להלן תחילה, העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית לקביעה שהתקיפה היא תקיפת סייבר חמורה כאמור, ככל שאין בכך כדי לחשוף 1)).( מקורות מידע, שיטות או אמצעים (פסקה לאחר מתן ההודעה לספק על תקיפת סייבר חמורה כאמור, תינתן לספק הזדמנות לפעול באופן הולם לצורך ,איתור התקיפה, מניעתה מבעוד מועד או מניעת הישנותה או בלימתה לאחר שהחלה, והכול בתוך פרק זמן סביר שיודיע עליו העובד המוסמך לספק, ובהתחשב במאפייני )).2( תקיפת הסייבר החמורה (פסקה בהמשך לכך, ובתוך פרק הזמן שהוגדר ונמסר לספק כאמור, הספק יידרש לעדכן את העובד המוסמך בדבר הפעולות שביצע לצורך איתור התקיפה, מניעתה או בלימתה, וזאת בלי שתחול עליו חובה לגלות במסגרת העדכון סוד מסחרי. לחלופין, הספק יוכל למסור תצהיר בנוסח שבתוספת לחוק המוצע, בדבר יישום הנחיות NIST 800-53 Securityאבטחה, בהתאם לתקן הבין־לאומי and Privacy Controls for Information Systems and )). מדובר בתקן בין־לאומי מקצועי3( (פסקהOrganizations הנותן מענה לתקיפות בעלות רמת מורכבות ועוצמה גבוהה ,)APT( אשר שחקני תקיפה מתקדמים ועתירי משאבים עשויים לעשות בהן שימוש. התקן כולל הוראות שיש בהן כדי להביא לצמצום משמעותי של התקיפה מהספק הנתקף למקבלי שירותיו, והוא כולל, בין השאר, בקרות ברזולוציה ,מפורטת, הוראות לעניין ניטור עצמי רציף של חברות עמידה ברמת הגנה בסייבר והתמודדות עם תקיפות. מדובר בתקינה מוכרת ונגישה, וניתן למצוא מידע על אודותיה באתר מכון התקנים האמריקאי. כמו כן, כדי להנגיש את המידע ביתר קלות, תוצג באתר מערך הסייבר הלאומי הפניה לתקן זה באתר מכון התקנים האמריקאי. על פי המוצע, התצהיר שהספק יוכל להגיש, אפשר שיתייחס לשירותים מושא התקיפה בלבד, ולא לכלל השירותים שהוא מספק. בכל מקרה, סביר להניח שיידרש שיתוף פעולה של נציגי הספק עם העובד המוסמך לצורך בירור השאלה אילו שירותים הם מושא תקיפת הסייבר ד ב ר י ה ס ב ר 363 העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו ), ומצא העובד המוסמך כי הספק לא פעל3( לא מסר הספק תצהיר כאמור בפסקה )4( ), רשאי העובד2( באופן הולם לאיתור התקיפה, מניעתה או בלימתה, כאמור בפסקה המוסמך, אם מצא שהדבר נדרש לצורך איתור התקיפה, מניעתה או בלימתה, ולאחר שהודיע לספק על כוונתו לתת לו הוראות לפי פסקה זו ונתן לו הזדמנות להשמיע את טענותיו, לתת לספק הוראות, בכתב או בעל פה, שיבוצעו בידי הספק, ובכלל זה הוראות לביצוע פעולות להגנת סייבר בחומר מחשב או הוראות למסירת ידיעה או מסמך לרבות ;העתק מחומר מחשב, לידי העובד המוסמך - )4( במתן הוראות לספק לפי פסקה )5( ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות, על (א) פעילות הספק ועל צד שלישי, וכן את העלות הכלכלית המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות התפקודית של הספק, למיטב ידיעתו ; בהתחשב בהערכה שמסר- של העובד המוסמך, ואם הספק מסר הערכה לעניין זה ,יורה העובד המוסמך לנקוט אמצעי שפגיעתו פחותה לצורך איתור התקיפה (ב) ;מניעתה או בלימתה ;יפרט העובד המוסמך את המועד האחרון לביצוע ההוראה (ג) ), יפעל הספק בהתאם לה עד המועד4( נתן עובד מוסמך לספק הוראה לפי פסקה )6( )(ג), וידווח על אופן ביצועה לעובד המוסמך5( האחרון שנקבע לביצועה כאמור בפסקה עד המועד האמור. החמורה. יודגש, כי לא יינתנו הוראות מכוח החוק המוצע לספק אשר טיפל באופן הולם באיתור התקיפה, מניעתה או בלימתה, וכן לא יינתנו הוראות לספק אשר מסר תצהיר כאמור. במקרה כזה הספק גם לא יהיה מחויב למסור עדכון לעובד המוסמך על אופן הטיפול בתקיפת הסייבר החמורה שלגביה התריעו לפניו. עוד מוצע כי אם הספק לא הגיש תצהיר בדבר יישום הנחיות אבטחה בהתאם לתקן כאמור, ואם העובד המוסמך ,מצא כי הספק הנתקף לא פעל באופן הולם לאיתור התקיפה מניעתה או בלימתה, יוכל העובד המוסמך להודיע לספק על כוונתו לתת לו הוראות, ולספק תינתן הזדמנות להשמיע את טענותיו לעניין הכוונה לתת לו הוראות מחייבות. החוק ,המוצע אינו שולל את האפשרות של הגופים לסייע לספק בהסכמתו, להתמודד עם התקיפה בדרכים אחרות. ואולם אם לאחר שמיעת הספק מצא העובד המוסמך כי הדבר נדרש לצורך איתור התקיפה, מניעתה או בלימתה, הוא יהיה מוסמך לתת הוראות מחייבות לספק שאינו מתמודד באופן הולם עם תקיפת סייבר חמורה או שלא הגיש תצהיר )).4( כאמור (פסקה בכלל זה, העובד המוסמך יהיה רשאי לתת לספק הוראות שיבוצעו על ידי הספק. יובהר, בעניין זה, כי גם בשלב מתקדם זה של מתן הוראות, החוק המוצע אינו מסמיך את העובד לבצע בעצמו פעולות במחשביו של הספק, וההוראות שייתן העובד צריך שיתבצעו על ידי הספק או עובדיו, ולא על ידי העובד המוסמך או מי מטעמו. בין השאר, יוכל העובד המוסמך לתת לספק הוראות לביצוע פעולות להגנת סייבר בחומר מחשב, או הוראות למסירת ידיעה או מסמך, לרבות העתק מחומר מחשב הנדרש לאיתור, מניעת או בלימת תקיפת סייבר חמורה, לידי העובד המוסמך, וזאת בתנאי שמדובר באמצעי שפגיעתו היא הפחותה ביותר בנסיבות העניין. מוצע להתוות את שיקול הדעת של העובד המוסמך ולקבוע שבמתן הוראות ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות של כל מי שמידע אודותיו מצוי בידי הספק, בכלל זה מידע על לקוחות ועובדים, וכן את השפעתן על פעילות הספק ועל צד שלישי כגון לקוחות שנותנים שירותים חיוניים לציבור, ואת העלות הכלכלית המוערכת של יישום ההוראה והשפעתה האפשרית על הרציפות התפקודית של הספק. זאת, למיטב ידיעתו של העובד המוסמך או בהתחשב בהערכה שמסר הספק לעניין זה, אם מסר. כמו כן, מוצע להדגיש את חובתו של העובד המוסמך לפעול במידתיות. בהתאם לכך, מוצע לקבוע שהוא יורה לנקוט אמצעי שפגיעתו פחותה לצורך איתור התקיפה, מניעתה או בלימתה. במסגרת חובה זו, העובד המוסמך יימנע מפעולות לזיהוי האנשים שהם נושאי המידע שיקבל מהספק, אם הדבר אינו חיוני לצורך איתור התקיפה, מניעתה או בלימתה. יובהר בעניין זה שבמרבית המקרים המידע המתקבל הוא מידע טכנולוגי שאינו מכיל מידע אישי. ,לבסוף, מוצע לקבוע שבעת מתן ההוראה לספק העובד המוסמך יפרט את המועד האחרון לביצועה. עד למועד זה הספק יפעל בהתאם להוראה שקיבל וידווח )).6(–) ו5( לעובד המוסמך על אופן ביצועה (פסקאות ד ב ר י ה ס ב ר העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו364 תיעוד .4 וימסור לו נוסח כתוב3 עובד מוסמך יתעד בכתב את ההוראות שנתן לספק לפי סעיף ,של ההוראות שאינו מכיל מידע מסווג, בתוך פרק זמן סביר ממתן ההוראה; לעניין זה מידע שסיווגו הביטחוני נקבע בידי מערך הסייבר, שב"כ, צה"ל או- ""מידע מסווג מלמ"ב, לפי העניין, כסיווג ברמת 'שמור' ומעלה. אופן הפעלת סמכויות .5 לעניין תקיפת סייבר מסוימת נגד ספק, או לעניין כמה תקיפות3 הסמכויות לפי סעיף ,כאמור המתרחשות באותו מועד, יופעלו כלפי הספק בידי עובד מוסמך מקרב גוף אחד בלבד. סודיות, הגבלת שימוש ומחיקה .6 אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה ישמור אותו בסוד, לא יגלה (א) אותו לאחר ולא יעשה בו כל שימוש, אלא לצורך איתור תקיפת סייבר חמורה, מניעתה או בלימתה. מידע שהתקבל מספק לפי חוק זה יימחק בסמוך לאחר סיום הטיפול בתקיפת (ב) הסייבר החמורה, אלא אם כן קבע מנהל מוסמך שהמידע כאמור חיוני לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור יישמר בהיקף המזערי הנדרש. למעט מידע על התוקף, התקיפה, מאפייני התקיפה או אמצעי- "בסעיף זה, "מידע (ג) הטיפול בה. דיווח .7 מערך הסייבר, השב"כ ומלמ"ב ידווחו אחת לשבועיים ליועצת המשפטית לממשלה (א) ולוועדת החוץ והביטחון של הכנסת בדבר המקרים שבהם ניתנו הוראות לספק לפי ), הנימוק למתן ההוראות וסוגן.4(3 סעיף דיווח לפי חוק זה יהיה חסוי ופרסומו אסור. (ב) שמירת דינים .8הוראות חוק זה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן. (א) מוצע לקבוע שהעובד המוסמך יתעד בכתב 4 סעיף את ההוראות שנתן לספק וימסור לספק נוסח כתוב של ההוראות שאינו מכיל מידע מסווג, בתוך פרק זמן סביר ממתן ההוראה. המסמך המפרט את ההוראות שניתנו יוכל לשמש את הספק לכל צורך שימצא לנכון בכפוף לכל דין. מוצע לקבוע כי הסמכויות לעניין תקיפת 5 סעיף סייבר מסוימת נגד ספק או לעניין כמה תקיפות כאמור המתרחשות באותו מועד, יופעלו כלפי הספק בידי עובד מוסמך מקרב גוף אחד בלבד. זאת במטרה למנוע מצב שבו ספק נדרש לעמוד בקשר, לתת דין וחשבון או למלא אחר הוראות מצד גורמים ממשלתיים שונים, ביחס לאותה תקיפה או במהלך אותו פרק זמן רלוונטי. כדי להגן על הזכות לפרטיות ולקניין של הספקים 6 סעיף ולקוחותיהם, מוצע לקבוע כי אדם שהגיע אליו מידע שהתקבל מספק לפי החוק המוצע, תחול עליו חובת סודיות לגבי אותו מידע, והוא לא יוכל לגלותו לאחר או ,לעשות בו שימוש, אלא לצורך איתור תקיפת סייבר חמורה מניעתה או בלימתה. כמו כן, מוצע לקבוע שמידע שיתקבל מספק לפי החוק המוצע באחד הגופים, יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה. יובהר בעניין זה, כפי שצוין לעיל, שבמרבית המקרים המידע המתקבל הוא מידע טכנולוגי שאינו מכיל מידע אישי או סודות מסחריים. עוד מוצע לקבוע שלמנהל מוסמך בכל אחד מהגופים ,תהיה סמכות לקבוע, לגבי מידע שהתקבל כאמור מספק שיש לשמור אותו (על אף החובה העקרונית למוחקו, כאמור לעיל), אם מצא שהוא חיוני לזיהוי מאפייני תקיפת סייבר. אם קבע כאמור, יישמר המידע האמור בהיקף המזערי הנדרש. לבסוף, מוצע להבהיר כי בכל הנוגע להסדר המוצע לחוק המוצע, המונח "מידע" אינו6 לעניין סודיות בסעיף ,)כולל מידע על התוקף, התקיפה (לרבות זהות הנתקף מאפייני התקיפה או אמצעי טיפול בה, ועל כן החובות המפורטות בסעיף זה אינן חלות לגבי מידע כאמור. לשם קיום פיקוח ובקרה שוטפים על פעולותיהם 7 סעיף של מערך הסייבר הלאומי, שב"כ ומלמ"ב לפי ,חוק זה, מוצע להטיל על הגופים האמורים חובת דיווח אחת לשבועיים, ליועצת המשפטית לממשלה ולוועדת החוץ והביטחון של הכנסת בדבר המקרים שבהם ניתנו ) לחוק המוצע. בדיווח כאמור4(3 הוראות לספק לפי סעיף יפורטו הנימוק למתן ההוראות וסוגן. לנוכח מהות המידע ואופיו הרגיש, מוצע לקבוע שדיווחים כאמור יהיו חסויים ויהיה אסור לפרסמם. מוצע, למען הסר ספק, לקבוע שהוראות החוק 8 סעיף המוצע באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן. עוד מוצע להבהיר שהוראות החוק המוצע באות להוסיף על כל הוראה בעניין הנוגע להגנת סייבר, לפי ד ב ר י ה ס ב ר 365 העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו בלי לגרוע מהאמור בסעיף קטן (א), הוראות חוק זה באות להוסיף על כל הוראה (ב) בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, ואולם בכל מקרה של סתירה יגברו הוראות חוק זה. תיקון חוק בתי משפט לעניינים - מינהליים הוראת שעה .9 11, יקראו את חוק בתי משפט לעניינים בתקופת תוקפו של חוק זה, כאמור בסעיף :, כך שבתוספת הראשונה, בסופה יבוא6‏2000-מינהליים, התש"ס .  החלטה של רשות לפי חוק התמודדות עם תקיפות סייבר חמורות במגזר65" ".2023- חרבות ברזל), התשפ"ד- השירותים הדיגיטליים ושירותי האחסון) (הוראת שעה ביטול תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים )ושירותי האחסון 1.0 תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר בטלות.- 7‏2023-השירותים הדיגיטליים ושירותי האחסון), התשפ"ד תוקף 11. לחוק זה יעמדו בתוקפם עד תום שישה חודשים מיום פרסומו.9 1 עד סעיפים (א) ראש הממשלה, בהתייעצות עם שר הביטחון ובאישור ועדת החוץ והביטחון (ב) של הכנסת, רשאי להורות בצו על הארכת תקופת תוקפו של חוק זה לתקופות נוספות שלא יעלו על שלושה חודשים כל אחת, אם מצא כי הדבר נדרש עקב התמשכותן של הפעולות הצבאיות המשמעותיות, ובלבד שסך כל תקופות ההארכה לא יעלה על שישה חודשים. הוראת מעבר 1.2 הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת חירום (חרבות ברזל) (התמודדות עם ,2023-תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד לפני יום תחילתו של חוק זה, יראו אותן כאילו נעשו לפי חוק זה והוראותיו יחולו עליהן. החלטת ממשלה או הסכם, ואולם, בכל מקרה של סתירה יגברו הוראות חוק זה. כך לדוגמה, אין בחוק המוצע, ובכלל זה בהוראות שיינתנו מכוחו, כדי לגרוע מחובות הדיווח של ספק לפי כל דין או הסכם. כדי לאפשר ביקורת שיפוטית וגישה לערכאות 9 סעיף בנוגע להוראות שייתן גורם מוסמך לספק לפי החוק המוצע, מוצע לתקן בתיקון עקיף את התוספת ,הראשונה לחוק בתי משפט לעניינים מינהליים , כך שבית המשפט לעניינים מינהליים יהיה2000-התש"ס מוסמך לדון בעתירות בעניין החלטות לפי חוק זה. כאמור, חוק זה נועד לאפשר התמודדות עם סעיפים העלייה בהיקף ועוצמת מתקפות הסייבר 12 עד10 אגב הלחימה המתמשכת במסגרת הפעולות ,הצבאיות המשמעותיות ובמהלכה. בשים לב לאמור ,ומכיוון שלא ניתן לדעת כיום עד מתי תימשך הלחימה 11 לחוק המוצע, שהחוק יעמוד מוצע לקבוע, בסעיף בתוקפו למשך שישה חודשים מיום פרסומו ברשומות. לחוק המוצע, אחד התנאים2 כאמור, לפי סעיף המצטברים להפעלת סמכותו של מנהל מוסמך לקבוע ,כי תקיפת סייבר מסוימת היא תקיפת סייבר חמורה הוא התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות, כך שגם אם תסתיים הלחימה לפני תום שישה חודשים מיום תחילתו של החוק המוצע, ממילא לא יהיה ניתן להפעיל את הסמכות. מאחר שייתכן שהפעולות הצבאיות המשמעותיות יימשכו מעבר לשישה חודשים כאמור, מוצע להסמיך את ראש הממשלה, בהתייעצות עם ,שר הביטחון ובאישור ועדת החוץ והביטחון של הכנסת להורות בצו על הארכת תקופת תוקפו של החוק המוצע ,בתקופות נוספות שלא יעלו על שלושה חודשים כל אחת ובלבד שסך כל תקופת ההארכה לא יעלה על שישה חודשים. הוראות החוק המוצע נועדו להחליף את הוראות תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי . לפיכך, מוצע לקבוע כי עם2023-האחסון), התשפ"ד תחילתו של החוק המוצע, הן יבוטלו. לצד ביטול תקנות שעת החירום, וכדי להבטיח את רציפות הדין בין תקנות שעת החירום לבין החוק המוצע, מוצע לקבוע הוראת מעבר שלפיה הוראות שניתנו ופעולות שבוצעו מכוח ,תקנות שעת החירום האמורות כאילו נעשו לפי חוק זה והוראותיו יחולו עליהן. 1.90 'ס"ח התש"ס, עמ 6 .618 'ק"ת התשפ"ד, עמ 7 ד ב ר י ה ס ב ר העצות חוקהצה1 - הלשממה קוח תועצעוהצע - הלשממה קוח תו366 תוספת ))3(3 (סעיף תצהיר ספק על אספקת שירותי אחסון או שירותים דיגיטליים תוך יישום הנחיות NIST 800-53 Security and Privacy Controls for אבטחה בהתאם לתקן לפי חוק התמודדות עם תקיפות סייברInformation Systems and Organizations - חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה 2023-חרבות ברזל), התשפ"ד אני ................................., נושא/ת ת"ז מס' ................................., נציג/ת חברת .................... , הספק) משמש/ת בתפקיד ......................, כתובת .................................................- (להלן דוא"ל .............................................., מספר טלפון ....................................., מספר טלפון נוסף ....................................., בהמשך לפניית העובד המוסמך אל הספק מיום ............................... בנוגע לתקיפת סייבר חמורה בהתאם לחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה החוק), לאחר שהוזהרתי כי עליי לומר את- (להלן2023- חרבות ברזל), התשפ"ד- האמת וכי אהיה צפוי/ה לעונשים הקבועים בחוק אם לא אעשה כן, במסגרת תפקידי :מצהיר/ה בזה בכתב כלהלן 1.  הספק מספק ללקוחותיו שירותי אחסון או שירותים דיגיטליים, כהגדרתם בחוק, או את השירותים כאמור שהם מושאי התקיפה תוך יישום הנחיות אבטחה NIST 800-53 Security and Privacy Controls for Information בהתאם לתקן בגרסתו העדכנית ותוך ניהול הסיכונים הרלוונטיים.Systems and Organizations .  אם יחול שינוי בנוגע לאמור בתצהיר זה, במהלך התקופה שעד לסיום הטיפול2 בתקיפת הסייבר החמורה שבגינה נעשתה פנייה לספק, הספק יעדכן את העובד המוסמך בכך בלא שיהוי ובתוך זמן סביר. אני מצהיר/ה כי השם שלעיל הוא שמי, והחתימה שלמטה היא חתימתי, וכי תוכן תצהירי זה אמת. ................................. ................................. חתימה תאריך      סודר במח' רשומות, משרד המשפטים, והודפס במדפיס הממשלתיISSN 0334-3030    שקלים חדשים4.86 המחיר