הצעת חוק לקריאה השנייה והשלישית
25/12/2023
:מספר פנימי2212217
:מספר סימוכין2023-001624
נספח מס' מ-
1688
/
'א
הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים
ושירותי האחסון (הוראת שעה– חרבות ברזל), התשפ"ד–
2023
הצעת חוק
זו נדונה בכנסת בקריאה הראשונה ביום כ"ג בכסלו התשפ"ד
(6
בדצמבר2023
), והועברה ל
וועדת החוץ והביטחון.
הצעת החוק מוגשת–
ללא הסתייגויות–
לקריאה השנייה ולקריאה
השלישית ביום י"ג
( בטבת התשפ"ד25
בדצמבר2023
.)
.להצעת החוק הוגשו בקשות רשות דיבור
25/12/2023
- 1 -
הצעת חוק לקריאה השנייה ולקריאה השלישית
:מספר פנימי2212217
:מספר סימוכין2023-001624
נספח מס' מ-
1688
/
'א
חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת
שעה– חרבות ברזל), התשפ"ד–
2023
הגדרות
1.
בחוק זה–
""חומר מחשב", "מחשב", "פלט" ו"תוכנה–
;כהגדרתם בחוק המחשבים
""חוק המחשבים– חוק המחשבים, התשנ"ה–
1995
1;
""חוק להסדרת הביטחון–
,חוק להסדרת הביטחון בגופים ציבוריים
התשנ"ח–
1998
2;
""מלמ"ב–
הממונה על הביטחון במערכת
הביטחון;
""מנהל מוסמך–
:אחד מאלה או ממלא מקומו
(1)
;ראש יחידת המודיעין וההכוונה בחטיבת איומי סייבר בשב"כ
(2)
( ראש מרכז תגובהIR
;) במערך הסייבר
(3)
;ראש היחידה הטכנולוגית במלמ"ב
""מערך הסייבר–
מערך הסייבר הלאומי כהגדרתו בחוק להסדרת;הביטחון
""ספק–
:אחד מאלה
(1)
,מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים
ומתקיים חיבור פיזי או לוגי, קבוע או עיתי, או שמתבצעת העברת חומר
,מחשב קבועה או עיתית ממחשבי
ו
;למחשבי מקבל שירותיו
(2)
מי שעיסוקו באספקת שירותי תחזוקה, ניהול או
בקרה של
;שירותי אחסון או שירותים דיגיטליים
1
'ס"ח התשנ"ה, עמ366
.
2
'ס"ח התשנ"ח, עמ348
.
25/12/2023
- 2 -
""עובד מוסמך–
:כל אחד מאלה
(1)
עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב–
2002
3
,ש
ראש חטיבת איומי סייבר בשב"כ או ממלא מקומו הסמיך
בכתב לעניין חוק זה;
(2)
עובד מערך הסייבר
ש ראש חטיבת ההגנה
במערך הסייבר הסמיך
בכתב לעניין חוק זה;
(3)
לעניין ספק של הגופים המנויים בפרטים2 ו־3 לתוספת הראשונה
לחוק להסדרת הביטחון–
עובד המלמ"ב
ש
ראש היחידה הטכנולוגית
במלמ"ב הסמיך בכתב לעניין חוק זה;
""פעולה להגנת סייבר בחומר מחשב–
מתן הוראות למחשב בשפה
קריאת
מחשב ל
שם
,הגנת סייבר, ובכלל זה הוראה לסריקה
ל ,עיבוד
ל
הסרה של
,חומר מחשב הנוגע לתקיפת סייבר
ל
התקנת סוג תוכנה שפעולתה
,מוגבלת לרשת הספק בלבד
ל חסימה או
ל ניתוק של מחשב, או
ל
יצירת
;עותק של חומר המחשב
""הפעולות הצבאיות המשמעותיות–
הפעולות הצבאיות המשמעותיות
שעליהן החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף40
לחוק־
יסוד: הממשלה4, והודיעה לגביהן לוועדת החוץ והביטחון של הכנסת
( ביום כ"ג בתשרי התשפ"ד8
באוקטובר2023
;)
""צה"ל–
;צבא הגנה לישראל
"
"שב"כ–
;שירות הביטחון הכללי
""שירותי אחסון– שירותי אחסון של חומר מחשב הניתנים בעבור אחר, או
;שירותי אספקת תשתית לאחסון או לעיבוד של חומר מחשב
""שירותים דיגיטליים–
:שירות שהוא אחד מאלה, הניתן בעבור אחר
(1)
שירותי תוכנה,
,לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה
מחקר ופיתוח של תוכנה;
3
'ס"ח התשס"ב, עמ179
.
4
'ס"ח התשס"א, עמ158
.
25/12/2023
- 3 -
(2)
,שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה
;תוכנה וטכנולוגיות תקשורת
(3)
שירותי עיבוד נתונים, הזנתם או שחזורם, התקנה והגדרת תצורה
של מחשבים, התקנת תוכנה או שירותי הגנת;סייבר
(4)
אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק
;ממכונות וציוד תעשייתי
""תקיפת סייבר–
פעולה או חשש ממשי לפעולה שנועדה לפגוע שלא כדין
בשימוש במחשב או בחומר מחשב השמור בו, לרבות–
(1)
שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש;בו
(2)
;מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו
(3)
,אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות
;בהתאם למטרות השימוש בהם
(4)
חדירה לחומר מחשב כהגדרתה בסעיף4
;לחוק המחשבים
(5)
האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת
סתר, התשל"ט–
1979
5;
(6)
גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה
בדרך של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע לרבות
;בדרך של העתקתו, על ידי גורם כאמור
(7)
הפרעה או מניעה של.חיבור של מחשב לרשת תקשורת
תקיפת סייבר
חמורה
2.
)(א
מנהל מוסמך רשאי לקבוע כי תקיפת סייבר שמתרחשת או
שיש חשש
ממשי כי
עומדת להתרחש היא תקיפת סייבר חמורה, אם מצא כי יש חשש
ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום
האספקה והשירותים החיוניים, ובשל כל אלה (בחוק זה–
תקיפת סייבר
:)חמורה
(1)
;התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות
5
'ס"ח התשל"ט, עמ118
.
25/12/2023
- 4 -
(2)
קיומו של חשש ממשי שהיא בעלת השפעה משמעותית שאינה
;מוגבלת לספק הנתקף
(3)
.מאפייניה, לרבות מיתאר התקיפה או זהות התוקף
)(ב
הסמכות
הנתונה למנהל מוסמך לפי סעיף קטן (א) תהיה נתונה לראש
חטיבת הגנה בסייבר בצה"ל, לעניין תקיפת סייבר שהוא מצא שמתרחשת או
שיש חשש ממשי כי עומדת להתרחש אם מצא כי יש חשש ממשי ש
יש בה כדי
( לפגוע ברציפות התפקוד המבצעי של צה"ל, בשל האמור בפסקאות1
( ) עד3)
של אותו סעי.ף קטן
התמודדות עם
תקיפת סייבר
חמורה
3. קבע מנהל מוסמך או ראש חטיבת הגנה בסייבר בצה"ל
לפי הוראות סעיף2 כי
תקיפת סייבר שמתרחשת או עומדת להתרחש, נגד ספק, היא תקיפת סייבר
חמורה, והודיע על כך עובד מוסמך לספק, לאחר שהזדהה לפניו, יחולו הוראות
:אלה
(1)
העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית
;לקביעה כאמור, ככל שאין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים
(2)
העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם
ל
איתור
התקיפה, מניעתה או בלימתה, בתוך פרק זמן סביר שיימסר לספק, והכול
בהתחשב;במאפייני תקיפת הסייבר
(3)
הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע
ל
איתור
התקיפה, מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח
שפרסם
ראש מערך הסייבר באתר האינטרנט של מערך הסייבר בדבר אספקת שירותי
האחסון או השירותים הדיגיטליים ללקוחותיו או
בד
בר אספקת שירותי
,תחזוקה, ניהול או בקרה של שירותים כאמור
תוך יישום הנחיות אבטחה
בהתאם לתקן
המנוי בתוספת או לפיה
, לעניין כלל השירותים שהוא מספק, או
לעניין השירותים כאמור שנגדם בוצעה התקיפה, והכול בתוך פרק זמן סביר
( כאמור בפסקה2
;)
25/12/2023
- 5 -
(4)
לא מסר הספק תצהיר כא( מור בפסקה3), ומצא העובד המוסמך כי
הספק לא פעל באופן הולם לאיתור התקיפה, מניעתה או בלימתה, כאמור
( בפסקה2
,), רשאי העובד המוסמך, אם מצא שהדבר נדרש לאיתור התקיפה
מניעתה או בלימתה, ולאחר שהודיע לספק על כוונתו לתת לו הוראות לפי
פסקה זו ונתן לו הזדמנות להשמיע
את טענותיו, לתת לספק הוראות, בכתב או
,בעל פה שיבצע
הספק, ובכלל זה הוראות לביצוע פעולות להגנת סייבר בחומר
מחשב או הוראות למסירת ידיעה או מסמך, לרבות העתק מחומר מחשב, לידי
;העובד המוסמך
(5)
( במתן הוראות לספק לפי פסקה4
)
–
)(א
ישקול העובד המוסמך את
השפעתן האפשרית על הזכות
לפרטיות, על פעילות הספק ועל צד שלישי, וכן את העלות הכלכלית
המוערכת של יישום ההוראות והשפעתן האפשרית על הרציפות
התפקודית של הספק, למיטב ידיעתו של העובד המוסמך, ואם הספק
מסר הערכה לעניין זה–
;בהתחשב בהערכה שמסר
)(ב
יורה העובד המוסמך לנקוט אמצעי שפגיעתו פחותה
ל
איתור
;התקיפה, מניעתה או בלימתה
)(ג
;יפרט העובד המוסמך את המועד האחרון לביצוע ההוראה
(6)
( נתן עובד מוסמך לספק הוראה לפי פסקה4), יפעל הספק בהתאם לה
( עד המועד האחרון שנקבע לביצועה כאמור בפסקה5)(ג), וידווח על אופן
.ביצועה לעובד המוסמך עד המועד האמור
תיעוד
4.
עובד מוסמך יתעד בכתב את ההוראות שנתן לספק לפי סעיף3 וימסור לו נוסח
,כתוב של ההוראות שאינו מכיל מידע מסווג
בהקדם האפשרי לאחר מתן
;ההוראה
בסעיף
"זה, "מידע מסווג– מידע שסיווגו הביטחוני נקבע בידי מערך
.הסייבר, שב"כ, צה"ל או מלמ"ב, לפי העניין, כסיווג ברמת 'שמור' ומעלה
אופן הפעלת
סמכויות
5.
הסמכויות לפי סעיף3 לעניין תקיפת סייבר מסוימת נגד ספק, או לעניין כמה
תקיפות כאמור המתרחשות באותו מועד, יופעל
ו כלפי הספק בידי עובד מוסמך
.מקרב גוף אחד, בלבד
סודיות, הגבלת
שימוש ומחיקה
6.
)(א
,אדם שהגיע לידיו מידע שהתקבל מספק לפי חוק זה ישמור אותו בסוד
לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לאיתור תקיפת סייבר
.חמורה, מניעתה או בלימתה
25/12/2023
- 6 -
)(ב
מידע שהתקבל מספק
לפי חוק זה יימחק בסמוך לאחר סיום הטיפול
בתקיפת הסייבר החמורה, אלא אם כן קבע מנהל מוסמך שהמידע כאמור חיוני
לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור יישמר בהיקף
.המזערי הנדרש
)(ג פרסום פומבי ברבים של זהות הספק, שהתקבל
ה לפי חוק זה, יהיה
באישור מ
נהל מוסמך לאחר ש
נתן ל
ספק
הזדמנות להשמיע את.טענותיו
(ד)
"בסעיף זה, "מידע– למעט מידע על התוקף, התקיפה, מאפייני התקיפה
.או אמצעי הטיפול בה
עונשין
7.
אדם שגילה מידע
שהתקבל
מספק
לפי חוק זה או עשה שימוש במידע שהתקבל
מספק לפי חוק זה, תוך כדי מילוי תפקידו או במהלך מילוי תפקידו
, בניגוד
להוראות סעיף6
(א), דינו– מאסר שלוש שנים.
דיווח
8.
)(א מערך הסייבר, השב"כ ומלמ"ב ידווחו ליוע
ץ המשפטי לממשלה ולוועדת
החוץ והביטחון של הכנסת,, אחת לחודש
:על כל אלה
(1)
המקרים שבהם ניתנו הוראות לספק לפי סעיף3(4), הנימוק למתן
ההוראות וסוגן ,ומספר המקרים שבהם ספק לא מילא אחר הוראות
;כאמור
(2)
מספר המקרים שבהם העובד המוסמך סייע לספק במילוי
ההוראות שניתנו לו לפי סעיף3
;
(3)
סוגי הספקים שמנהל מוסמך קבע כי תקיפתם היא ת
קיפת סייבר
חמורה לפי סעיף2
;)(א
(4)
מספר המקרים שבהם מנהל מוסמך קבע כי
תקיפת סייבר היא
תקיפת סייבר חמורה
לפי סעיף2
(א), בפילוח בשל פגיעה
בביטחון
,המדינה
פגיעה ב ביטחון הציבור או
פגיעה ב
קיום האספקה והשירותים
החיוניים.
(ב)
דיווח לפי חוק זה יהיה.חסוי ופרסומו אסור
שמירת דינים
9.
)(א
.הוראות חוק זה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן
)(ב
בלי לגרוע מהוראות
סעיף קטן (א), הוראות חוק זה באות להוסיף על כל
הוראה בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, אולם
במקרה של סתירה,
.יגברו הוראות חוק זה
25/12/2023
- 7 -
תיקון חוק בתי
משפט לעניינים
מינהליים–
הוראת
שעה
10
.
בתקופת תוקפו של חוק זה, כאמור בסעיף12, יקראו את חוק בתי משפט
לעניינים מינהליים, התש"ס–
2000
6
:, כך שבתוספת הראשונה, בסופה יבוא
"
65
.
החלטה של רשות לפי חוק התמודדות עם תקיפות סייבר חמורות במגזר
השירותים הדיגיטליים ושירותי האחסון) (הוראת שעה–
,)חרבות ברזל
התשפ"ד–
2023
7
".
ביטול תקנות שעת
חירום (חרבות
ברזל) (התמודדות
עם תקיפות סייבר
חמורות במגזר
השירותים
הדיגיטליים
)ושירותי האחסון
11
. תקנו
ת שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות
במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ד–
2023
8 –
.בטלות
תוקף
12
.
סעיפים1
עד10
לחוק זה יעמדו בתוקפם עד תום
שבעה
.חודשים מיום פרסומו
הוראת מעבר
13
.
)הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת חירום (חרבות ברזל
(התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי
האחסון), התשפ"ד–
2023, לפני יום תחילתו של חוק זה, יראו אותן כאילו נעשו
.לפי חוק זה והוראותיו יחולו עליהן
תוספת
(סעיף3(3
))
1
.
תקןNIST 800–53 Security and Privacy Controls for Information
s
Systems and Organization
;
6
'ס"ח התש"ס, עמ190
.
7
... 'ס"ח התשפ"ד, עמ
8
'ק"ת התשפ"ד, עמ618
.
25/12/2023
- 8 -
2
.
תקן שראש מערך הסייבר, בהסכמת ראש השב"כ ומלמ"ב
, פרסם
ברשומות ובאתר האינטרנט של מערך הסייבר, אם פרסם תקן כאמור, ובלבד
שיש בו כדי להבטיח ברמת סבירות גבוהה את הגבלת השפעתה של תקיפת
.סייבר חמורה מעבר לספק הנתקף וטיפול הולם בתקיפות סייבר חמורות
***************************************************************************************
25/12/2023
- 9 -
:מספר פנימי2212217
נספח מס' מ-
1688
/
'א
הסתייגויות ובקשות רשות דיבור
להצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון
(הוראת שעה– חרבות ברזל), התשפ"ד–
2023
הסתייגויות
אין הסתייגויות
***************************************************************************************
בקשות רשות דיבור
חברי הכנסת
איימן עודה, אחמד טיבי, עאידה תומא סלימאן, עופר כסיף ,יוסף עטאונ ,ה
אביגדור ליברמן ,
עודד פורר ,יבגני סובה ,שרון ניר
, י
וליה מלינובסקי ,חמד עמאר
, ינון אזולאי
***************************************************************************************