הצעת חוק לקריאה הראשונה

PDF 32,177 תווים המסמך המקורי ↗
רשומות הצעות חוק ה מ מ ש ל ה 2025 ביולי15 1888 י"ט בתמוז התשפ"ה עמוד הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון 984 ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ ¸ 2025-), התשפ"ה3 ' חרבות ברזל) (תיקון מס- הנידמה למס(הוראת שעה הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו984 :מתפרסמת בזה הצעת חוק מטעם הממשלה הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים ,)3 ' חרבות ברזל) (תיקון מס- הדיגיטליים ושירותי האחסון (הוראת שעה 2025-התשפ"ה 15.7.2025 ,, י"ט בתמוז התשפ"ה1888 - הצעות חוק הממשלה תיקון שם החוק .1 בחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי החוק העיקרי), בשם- (להלן1‏2023- חרבות ברזל), התשפ"ד- האחסון (הוראת שעה חרבות ברזל)" יבוא "(הוראת שעה)".- החוק, במקום "(הוראת שעה מתחילת הלחימה במסגרת מבצע "חרבות כללי חרבות ברזל), ביום כ"ב בתשרי- ברזל" (להלן ), ניכרת עלייה בהיקף ובעוצמה2023 7 באוקטובר( התשפ"ד של תקיפות סייבר נגד גופים אזרחיים במשק הישראלי. מטרת תקיפות סייבר אלה היא לפגוע, כחלק מהמתקפה המשולבת המכוונת כלפי חוסנה של מדינת ישראל, במרחב הסייבר הישראלי, בכלכלה ובתפקודו התקין של המשק הישראלי, והן אף עשויות להביא לפגיעה בחיי אדם. תקיפות הסייבר, לפי עמדת גורמי המקצוע במערך הסייבר שב"כ) ובממונה- הלאומי, בשירות הביטחון הכללי (להלן מלמ"ב), הולכות- על הביטחון במערכת הביטחון (להלן והופכות מתוחכמות ומורכבות יותר. ספקים רבים של שירותי אחסון ושל שירותים דיגיטליים מתאפיינים בחיבוריות גבוהה לגופים רבים במשק הישראלי, לרבות למשרדי ממשלה וגופים ציבוריים, ובהם גם גופים ביטחוניים, תשתיות מדינה קריטיות וארגונים חיוניים לתפקודו של המשק, ועוד. בשל חיבוריות זו, הנזק שעשוי להיגרם מתקיפה כנגד ספקים אלה עלול להתפשט ולהשפיע על חברות רבות במשק, ולכן פעמים רבות מהווים הם יעד מועדף לתקיפות סייבר. בשים לב לאמור, תקיפות סייבר חמורות כנגד ספקים אלה עלולות להביא לפגיעה בביטחון המדינה, בביטחון הציבור או לפגיעה חמורה ברציפות אספקתם של שירותים חיוניים לציבור. כדי להתמודד עם הצורך המתואר לעיל, התקינה ,)2023 בנובמבר27( הממשלה, ביום י"ד בכסלו התשפ"ד את תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים תקנות שעת- (להלן2023-ושירותי האחסון), התשפ"ד החירום הראשונות), ובסמוך לאחר מכן, ביום י"ד בטבת ) פורסם ברשומות חוק2023 בדצמבר26( התשפ"ד התמודדות עם תקיפות סייבר חמורות במגזר השירותים ,) חרבות ברזל- הדיגיטליים ושירותי האחסון (הוראת שעה החוק), אשר החליף את תקנות- (להלן2023-התשפ"ד שעת החירום הראשונות. יצוין כי החוק נחקק למשך שבעה חודשים מיום פרסומו, והוארך פעמיים בחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ,) חרבות ברזל) (תיקון- ושירותי האחסון (הוראת שעה ,)2024 ביולי23( , מיום י"ז בתמוז התשפ"ד2024-התשפ"ד וכן בחוק התמודדות עם תקיפות סייבר חמורות במגזר - השירותים הדיגיטליים ושירותי האחסון (הוראת שעה , מיום ב' בניסן2025-), התשפ"ה2 'חרבות ברזל) (תיקון מס ), כך שהוא עומד בתוקף עד יום2025 במרץ31( התשפ"ה ).2025 בנובמבר17( כ"ו בחשוון התשפ"ו החוק, בנוסחו כיום, מסמיך מנהל מוסמך בשב"כ הגופים), וכן את ראש חטיבת ההגנה- ובמלמ"ב (להלן בסייבר בצה"ל, לקבוע כי תקיפת סייבר היא תקיפת סייבר חמורה, אם יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים נתונה לעובד מוסמך באחד- החיוניים; ובהמשך לכך הגופים הסמכות להודיע לספק על קיומו של חשש לתקיפת ,סייבר חמורה כנגדו. אם הספק לא הגיש תצהיר לפי החוק וכן לא פעל באופן הולם ובתוך פרק זמן סביר שניתן לו לטיפול בתקיפת הסייבר החמורה, מסמיך החוק את העובד ,המוסמך לתת לספק הנתקף הוראות לצורך איתור התקיפה מניעתה או בלימתה, תוך שהחוק קובע תנאים למתן ההוראות כאמור. ) החלה2025 ביוני13( ביום י"ז בסיוון התשפ"ה המערכה מול איראן, במסגרת מבצע "עם כלביא", וזאת בעקבות החלטתה מאותו היום של ועדת השרים לענייני ביטחון לאומי על נקיטת פעולות צבאיות משמעותיות לפי לחוק־יסוד: הממשלה. לנוכח המערכה נגד איראן40 סעיף והערכת הגופים באשר לחומרת איומי הסייבר והסיכונים הנשקפים מהם, ועל רקע הצורך המבצעי הדחוף בהקניית סמכויות וכלים חיוניים נוספים לשם התמודדות עם אותם )2025 ביוני23( איומים, הותקנו ביום כ"ז בסיוון התשפ"ה תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים - (להלן2025-הדיגיטליים ושירותי האחסון), התשפ"ה תקנות שעת החירום השניות). תוקפן של תקנות אלה נקבע ,) והן קובעות2025 ביולי23( עד יום כ"ז בתמוז התשפ"ה בין השאר, כי אם היה יסוד סביר למנהל המוסמך להניח כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה, הוא רשאי לדרוש מהספק להציג לו כל ידיעה או מסמך אם הם נדרשים לשם בחינת התקיימותם של התנאים לקביעה כי תקיפת סייבר היא תקיפת סייבר חמורה. נוסף על כך, נקבע .426 '; התשפ"ה, עמ410 'ס"ח התשפ"ד, עמ 1 ד ב ר י ה ס ב ר 985 הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו 1 תיקון סעיף .2 - לחוק העיקרי1 בסעיף :לפני ההגדרה "חומר מחשב", "מחשב", "פלט" ו"תוכנה" יבוא )1( ארגון שקיים חיבור, פיזי או לוגי, קבוע או עיתי, בין מחשביו- ""ארגון מקושר ,לבין מחשבי הספק, או שמתבצעת העברת חומר מחשב, קבועה או עיתית ;";בין מחשבי הספק למחשביו בתקנות שעת החירום השניות כי אם לספק נודע על תקיפת סייבר משמעותית נגדו עליו לדווח באופן מיידי למנהל המוסמך, וכן חובה על ספק הנתקף בתקיפת סייבר חמורה ליידע בלא דיחוי כל ארגון מקושר אשר עלול להיפגע מן התקיפה באופן ישיר וממשי. לנוכח הערכות מקצועיות של הגופים באשר לחומרת איומי הסייבר העדכניים והסיכונים הנשקפים מהם, ולנוכח מאפייניו הייחודיים של מרחב הסייבר, עמדת הגופים היא כי יש צורך לשמר את הסמכויות והכלים הנדרשים ,לצורך התמודדות עם תקיפות במרחב הסייבר. לפיכך הסמכויות והכלים החיוניים, אשר נקבעו בעיקרם במסגרת החוק ותקנות שעת החירום השניות, לצורך התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ,ושירותי האחסון, נדרשים לשם שמירה על ביטחון המדינה ביטחון הציבור ומניעת פגיעה חמורה ברציפות אספקתם של שירותים חיוניים לציבור. זאת, אף במנותק מן הלחימה במסגרת חרבות ברזל ומהמערכה מול איראן. לכן, מוצע להוסיף לחוק את הסמכויות והכלים שנקבעו בתקנות שעת החירום השניות, וכן להאריך את תקופת תוקפו של החוק נוכח ההערכות המקצועיות כאמור לעיל. לנוכח הערכת גורמי המקצוע כי במרחב הקיברנטי הלחימה תוסיף להתנהל בעצימות גבוהה אף במנותק ממצב הלחימה במסגרת חרבות ברזל, באופן המצדיק את הקניית הכלים והסמכויות האמורות, מוצע לקבוע כי הפעלת הכלים והסמכויות מכוח החוק לא יהיו תלויים במצב הלחימה כאמור. וזאת לתקופה זמנית במסגרת הוראת שעה. החוק המוצע בא להחליף את ההסדר שנקבע בתקנות להצעת החוק).12 שעת החירום ועל כן מוצע לבטלן (ראו סעיף כאמור, מגמת העלייה בהיקפן ובמורכבותן של 1 סעיף ,תקיפות הסייבר במרחב הסייבר הישראלי ובייחוד כלפי מגזר השירותים הדיגיטליים ושירותי האחסון, התחדדה עם פרוץ חרבות ברזל. בשל כך, נקבע ,ההסדר שבחוק כהסדר שחל במהלך תקופת חרבות ברזל כך שההגדרה של תקיפת סייבר כתקיפת סייבר חמורה בחוק, מותנית כיום, בין השאר, בהתרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות (חרבות ברזל). לצד זאת, כאמור, בהתאם להערכות המקצועיות של הגופים לגבי חומרת איומי הסייבר העדכניים והסיכונים המשמעותיים הנשקפים מהם, ובשל מאפייניו הייחודיים של מרחב הסייבר הישראלי, הצורך בסמכויות ובכלים לצורך התמודדות ראויה עם תקיפות חמורות במרחב הסייבר הישראלי עומד בעינו, וזאת אם תיפסק הלחימה ,במסגרת חרבות ברזל. לפיכך, הסמכויות והכלים החיוניים אשר נקבעו במסגרת החוק ותקנות שעת החירום הנחוצים להתמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון, נדרשים לשם שמירה על ביטחון המדינה, ביטחון הציבור או למניעת פגיעה באופן חמור ברציפות אספקתם של שירותים חיוניים לציבור, וזאת אף במנותק מן הלחימה במסגרת חרבות ברזל ומהמערכה הקינטית מול איראן. על כן, מוצע לקבוע שההסדר הקבוע בחוק יחול בלא תלות בהימשכות הפעולות הצבאיות המשמעותיות ובמצב הלחימה במסגרת חרבות ברזל. בהתאם לכך, מוצע לשנות את שמו של החוק כך שהמילים "חרבות ברזל" יימחקו ממנו. , לחוק, סעיף ההגדרות1 מוצע לתקן את סעיף 2 סעיף ולהוסיף הגדרות נוספות שנקבעו בתקנות שעת החירום השניות כדי לעגן הוראות מהותיות שנקבעו בתקנות אלה, וכן למחוק הגדרות המתייחסות ללחימה במסגרת חרבות ברזל כחלק מניתוק החוק ממצב הלחימה. (ב) לחוק את החובה3 בין השאר, מוצע לקבוע בסעיף המוטלת על ספק אשר מותקף בתקיפת סייבר חמורה לידע ארגון מקושר אשר עלול להיפגע ממנה ישירות ובאופן ממשי. לעניין זה, מוצע להגדיר "ארגון מקושר" כארגון שקיים חיבור, פיזי או לוגי, קבוע או עיתי, בין מחשביו לבין מחשבי הספק, או שמתבצעת העברת חומר מחשב, קבועה או עיתית, בין מחשבי הספק למחשביו. כלומר, ארגון מקושר ,הוא ארגון שקיימת חיבוריות בין מחשביו למחשבי הספק שבגינה קיימת סכנה להתפשטות התקיפה מהספק לארגון. כמו כן, מוצע לקבוע כי "המרכז הלאומי", שבאמצעותו א2 ידווח ספק על תקיפת סייבר משמעותית בהתאם לסעיף לחוק, הוא המרכז הלאומי לסיוע בהתמודדות עם איומי ) שפועל במערך הסייבר הלאומי, וכן לתקן אתCERT( סייבר ההגדרות "מנהל מוסמך" ו"עובד מוסמך" לעניין המלמ"ב, כך שבמקום "ראש היחידה הטכנולוגית במלמ"ב" יבוא "ראש ,"יחידת הסייבר במלמ"ב", ובהתאם, בהגדרה "עובד מוסמך במקום "היחידה הטכנולוגית" יבוא "יחידת הסייבר". נוסף על כך, מוצע למחוק את ההגדרה "הפעולות הצבאיות המשמעותיות" וזאת במסגרת ניתוק הזיקה של החוק והפעלת הסמכויות מכוחו לפעולות הצבאיות המשמעותיות, כאמור לעיל. ד ב ר י ה ס ב ר הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו986 :) יבוא3( בהגדרה "מנהל מוסמך", במקום פסקה )2( לתוספת הראשונה לחוק3 ו־2 )  לעניין ספק של הגופים המנויים בפרטים3(" ;"; ראש יחידת הסייבר במלמ"ב- להסדרת הביטחון :אחרי ההגדרה "מערך הסייבר" יבוא )3( ,)CERT( המרכז הלאומי לסיוע בהתמודדות עם איומי סייבר- """המרכז הלאומי ;";שמפעיל מערך הסייבר ), במקום "היחידה הטכנולוגית" יבוא "יחידת3( בהגדרה "עובד מוסמך", בפסקה )4( ;"הסייבר תימחק.- "ההגדרה "הפעולות הצבאיות המשמעותיות )5( 2 תיקון סעיף .3 - (א) לחוק העיקרי2 בסעיף ברישה, במקום "בביטחון הציבור או בקיום האספקה והשירותים החיוניים" יבוא )1( "או בביטחון הציבור או לפגוע באופן חמור ברציפות אספקתם של שירותים חיוניים ;"לציבור ; תימחק- )1( פסקה )2( :אחרי סעיף קטן (א) יבוא )3( )  היה למנהל מוסמך יסוד סביר להניח כי תקיפת סייבר שמתרחשת או1"(א שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ספק או תקיפה כאמור הנעשית באמצעות ספק, רשאי הוא, בעצמו או באמצעות עובד מוסמך, לדרוש מהספק להציג לו כל ידיעה או מסמך, לרבות פלט, כדי להבטיח את ביצועו של סעיף זה או להקל את ביצועו; הוראות סעיף קטן זה לא יחולו לעניין ;").3()(א3 ספק שהגיש תצהיר כאמור בסעיף )".3(–) ו2( )" יבוא "בפסקאות3( ) עד1( בסעיף קטן (ב), במקום "בפסקאות )4( כמפורט לעיל, ובשל מאפייניו הייחודיים של 3 סעיף מרחב הסייבר, מוצע לקבוע שההסדר יחול בלא תלות בהימשכות הפעולות הצבאיות המשמעותיות. בהתאם, מוצע לתקן את העילה שלפיה יקבע מנהל מוסמך שיש חשש ממשי לתקיפת סייבר חמורה. כך, לפי הנוסח המוצע, המנהל המוסמך יידרש לבחון אם יש חשש ממשי שיש בתקיפת הסייבר כדי לפגוע בביטחון המדינה או בביטחון הציבור או לפגוע באופן חמור ברציפות אספקתם של שירותים חיוניים לציבור. במקביל, מוצע למחוק מרשימת התבחינים להגדרתה של תקיפת סייבר כתקיפת סייבר חמורה על ידי המנהל לחוק, את התבחין הקבוע בסעיף2 המוסמך בהתאם לסעיף ) לחוק, שלפיו על התקיפה להתרחש במהלך תקופת1()(א2 הפעולות הצבאיות המשמעותיות. לחוק את סעיף2 נוסף על כך, מוצע להוסיף לסעיף ) ולקבוע בו שכאשר למנהל מוסמך יש יסוד סביר1קטן (א להניח שתקיפת סייבר שמתרחשת, או שקיים חשש ממשי כי עומדת להתרחש, נגד ספק או באמצעות הספק, היא תקיפת סייבר חמורה, הוא רשאי, בעצמו או באמצעות ,עובד מוסמך, לדרוש מהספק להציג לו כל ידיעה או מסמך לרבות פלט מחשב, וזאת כדי להבטיח את ביצועו של סעיף או להקל את ביצועו. זאת, לצורך בחינת התקיימותם2 של התנאים לקביעה שתקיפת סייבר שמתרחשת או שיש חשש ממשי שעומדת להתרחש היא תקיפה חמורה לפי (א) לחוק.2 סעיף לחוק, כתיקונו בהצעת חוק4 כמו כן, בהתאם לסעיף זו, הדרישה להעברת ידיעות או מסמכים תתועד בכתב ויימסר לספק נוסח כתוב של הדרישה שאינו מכיל מידע מסווג, בהקדם האפשרי לאחר הדרישה. יובהר שפניית מנהל מוסמך לספק, לצורך דרישת ידיעות ומסמכים, תבוצע באופן מצומצם והדרגתי ככל הניתן, בשים לב לנתונים הקיימים בידי המנהל המוסמך ולמידע המינימלי הנדרש ,לבחינת חומרת תקיפת הסייבר המסוימת. כך לדוגמה ככל שלצורך קבלת החלטה אם התקיפה הנבחנת היא תקיפת סייבר חמורה, נדרש למנהל המוסמך מידע בנוגע לקישוריות הספק לארגונים אחרים לשם הערכת הסיכון הנגזר מן התקיפה, תתמקד דרישת המידע הראשונית במידע הנוגע לכך. עוד לשם המחשה, במקרה שבו קיים ספק באשר למאפיינים הטכנולוגיים של התקיפה לשם הבנת חומרתה, תתמקד הפנייה הראשונית של המנהל ד ב ר י ה ס ב ר 987הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו א2 הוספת סעיף .4 : לחוק העיקרי יבוא2 אחרי סעיף "חובת דיווח א.2 נודע לספק על כך שמתרחשת נגדו, בפועל, תקיפת סייבר (א) שמתקיים לגביה אחד מאלה, ידווח על כך למנהל המוסמך :)באמצעות המרכז הלאומי, בהתאם להוראות סעיף קטן (ב ;יש חשש ממשי שהיא אינה מוגבלת לספק הנתקף )1( ,היא עלולה לפגוע באופן משמעותי בזמינות )2( ,ברציפות או במהימנות השירות של הספק, בהתחשב :בין השאר, באלה כמות או סוג המשתמשים בשירות, שעלולים (א) ;להיות מושפעים מהתקיפה ;סוג הפגיעה והיקפה (ב) משך הפגיעה. (ג) המוסמך, ככל האפשר, בדרישה ממוקדת לקבלת המאפיינים הטכנולוגיים הנדרשים לצורך הבחינה האמורה. עוד מוצע לקבוע כי ספק אשר הגיש תצהיר בדבר עמידה בתקנים כמפורט בתוספת, לעניין כלל השירותים כאמור שהוא ,מספק, או לעניין השירותים כאמור, שנגדם בוצעה התקיפה לא יידרש למסור ידיעות או מסמכים לבחינת התקיימותה ) לחוק1(א2 של תקיפת סייבר חמורה, בהתאם לסעיף כנוסחו המוצע. ,א, ולקבוע בו2 מוצע להוסיף לחוק את סעיף 4 סעיף שספק ידווח באופן מיידי למנהל מוסמך באמצעות המרכז הלאומי אם נודע לו על תקיפת סייבר המתרחשת נגדו בפועל, אשר יש חשש ממשי שהיא אינה מוגבלת לספק הנתקף, או אם התקיפה עלולה לפגוע באופן משמעותי בזמינות, ברציפות או במהימנות שירותי הספק. לצורך בחינת התקיימותו של התנאי השני, הספק ישקול שיקולים שונים, ובהם: כמות או סוג המשתמשים העלולים להיות מושפעים מהתקיפה, סוג והיקף הפגיעה וכן את משך הפגיעה. עוד מוצע לקבוע כי הדיווח שאותו יעביר הספק למנהל המוסמך, לפי סעיף זה, ייעשה באחת משתי דרכים שלהלן, לפי בחירתו, ואולם לאחר שבחר הספק בדרך :מסוימת, הוא לא יוכל לשנות את בחירתו החלופה הראשונה היא דיווח מיידי, בלא דיחוי ובהקדם האפשרי, הכולל את הפרטים שלהלן, ככל שהם ידועים לספק, וכל מידע אחר שיש בו כדי לסייע להערכת :חומרתה של תקיפת הסייבר והשלכותיה .  פרטי הספק והשירותים שהוא מספק, ובכלל זה פרטי1 ;קשר שלו ;.  מועד תחילת תקיפת הסייבר ומועד גילויה2 ;.  מידע לגבי מאפייני התקיפה והשפעתה על הספק3 .  מידע הנוגע לאפשרות השפעת התקיפה על ארגונים4 מקושרים, כלומר ארגון שקיים קישור לוגי או פיזי בינו לבין הספק, קבוע או עיתי, או שמתבצעת העברת חומר מחשב קבועה או עיתית, ממחשביו למחשבי מקבל שירותיו. החלופה השנייה היא חלופת דיווח אשר מטרתה המרכזית להקל על ספקים שחלה לגביהם חובת דיווח Directive (EU)( בהתאם לדירקטיבת האיחוד האירופי 2022/2555 of the European Parliament and of the Council of 14 December 2022 on Measures for High )Common Level of Cybersecurity Across the Union ), ולאפשר דיווח דומה. בהתאמהNIS2 דירקטיבת- (להלן , מוצע לקבוע בחלופת דיווחNIS2 לקבוע בדירקטיבת שעות מהמועד שבו24 זו שספק יגיש בלא דיחוי ובתוך ,נודע לו על התקיפה, דיווח ראשוני על תקיפת הסייבר הכולל מידע שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה, אם הוא ידוע לו, וכן פרטי הספק והשירותים שהוא מספק, ובכלל זה פרטי קשר שלו. עוד מוצע לקבוע במסגרת חלופה זו, בהתאם לקבוע , שספק יגיש בלא דיחוי ולא יאוחרNIS2 בדירקטיבת ,7 שעות מהמועד שבו נודע לו על תקיפת הסייבר2 מחלוף ;דיווח שיכלול עדכון לגבי המידע שנמסר בדיווח הראשוני הערכה ראשונית בדבר חומרת התקיפה והשלכותיה; ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול אם המידע האמור ידוע לו. , מוצעNIS2 נוסף על כך, בדומה לקבוע בדירקטיבת לקבוע, במסגרת חלופה זו, שמנהל מוסמך יהיה רשאי, בעצמו או באמצעות עובד מוסמך, לדרוש דיווח ביניים הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני או בדיווח שנמסר לאחר 7 שעות מהמועד שבו נודע לספק על תקיפת הסייבר כאמור.2 , מוצע לקבועNIS2 כמו כן, בדומה לקבוע בדירקטיבת 30–בחלופה זו, שהספק יגיש דיווח מסכם, וזאת לא יאוחר מ )ימים מהמועד שבו הגיש את הדו"ח לפי פסקת משנה (ב 7 שעות מהמועד שנודע2 המוצעת (הדו"ח שמוגש כעבור ד ב ר י ה ס ב ר הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו988 לשם מילוי חובתו כאמור בסעיף קטן (א), יפעל ספק (ב) ) להלן, בציון הדרך שבה2( ) או1( באחת הדרכים שבפסקאות :בחר לפעול יגיש, באופן מיידי, דיווח הכולל את הפרטים )1( שלהלן, אם הם ידועים לו, וכל מידע אחר שיש בו כדי :לסייע להערכת חומרתה של תקיפת הסייבר והשלכותיה פרטי הספק והשירותים שהוא מספק, ובכלל (א) ;זה פרטי קשר שלו ;מועד תחילת תקיפת הסייבר ומועד גילויה (ב) מידע לגבי מאפייני תקיפת הסייבר (ג) ;והשפעתה על הספק מידע הנוגע לאפשרות שהתקיפה תשפיע (ד) ;באופן ממשי על ארגון מקושר )יגיש, בהתאם למפורט בפסקאות משנה (א) עד (ה )2( :שלהלן, את הדיווחים כמפורט בהן שעות24 יגיש, בלא דיחוי ולא יאוחר מחלוף (א) מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח ראשוני על תקיפת הסייבר הכולל מידע שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה, אם הוא ידוע לו, וכן את פרטי הספק והשירותים שהוא ;מספק, ובכלל זה פרטי קשר שלו 7 שעות2 יגיש, בלא דיחוי ולא יאוחר מחלוף (ב) מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני כאמור בפסקת משנה (א), הערכה ראשונית בדבר חומרת התקיפה והשלכותיה, ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול ;אם המידע האמור ידוע לו ,יגיש, לפי דרישה מאת המנהל המוסמך (ג) בעצמו או באמצעות עובד מוסמך, ובמועד שיקבע המנהל המוסמך, דיווח ביניים הכולל עדכון לגבי ;)המידע שנמסר לפי פסקאות משנה (א) או (ב לספק על תקיפת הסייבר), הכולל תיאור מפורט על אודות תקיפת הסייבר, לרבות חומרתה והשלכותיה; סוג התקיפה והגורמים שהיוו מקור להתרחשות התקיפה, ככל שהם ידועים לספק; אופן הטיפול בתקיפה, לרבות פירוט בדבר אמצעים שננקטו או שעדיין ננקטים לצורך כך, למעט סוד מסחרי הנוגע ישירות לאופן הטיפול ולאמצעים כאמור. עוד מוצע לקבוע במסגרת חלופה זו, שאם לא הסתיים ימים, הספק יגיש באותו30 הטיפול בתקיפת הסייבר בתוך ,מועד, דיווח על אודות התקדמות הטיפול בתקיפת הסייבר הכולל את הפרטים הידועים לספק מתוך הפרטים שעליו לדווח במסגרת הדיווח המסכם, ויגיש גם דיווח מסכם, לא ימים לאחר סיום הטיפול בתקיפה.30–יאוחר מ עוד מוצע לקבוע שדיווח לפי סעיף זה יכול שיוגש ,באופן מקוון באתר האינטרנט של מערך הסייבר הלאומי בהודעה טלפונית למרכז הלאומי, או בדרך אחרת שיורה ראש מערך הסייבר הלאומי ותפורסם באתר האינטרנט האמור. כמו כן, מוצע לקבוע כי ספק של הגופים המנויים לתוספת הראשונה לחוק להסדרת3 ובסעיף2 בסעיף ד ב ר י ה ס ב ר 989 הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו ימים מהמועד30 יגיש, לא יאוחר מחלוף (ד) שבו הגיש את הדיווח לפי פסקת משנה (ב), דיווח :) דיווח מסכם- הכולל את הפרטים שלהלן (להלן ,תיאור מפורט על אודות תקיפת הסייבר )1( ;לרבות חומרתה והשלכותיה סוג התקיפה והגורמים שהיוו מקור )2( ;להתרחשותה, לפי מיטב ידיעתו של הספק אופן הטיפול בתקיפה, לרבות פירוט )3( בדבר אמצעים שננקטו או שעדיין ננקטים לצורך כך, למעט סוד מסחרי הנוגע ישירות ;לאופן הטיפול בתקיפה ולאמצעים כאמור על אף האמור בפסקת משנה (ד), אם לא (ה) הסתיים הטיפול בתקיפת הסייבר במועד הדיווח כאמור באותה פסקת משנה, יגיש הספק, באותו ,מועד, דיווח על התקדמות הטיפול בתקיפת הסייבר הכולל את הפרטים לפי אותה פסקת משנה, אם הם ידועים לו; הסתיים הטיפול בתקיפה, יגיש ימים לאחר סיום הטיפול30הספק, לא יאוחר מ־ בתקיפה, דיווח מסכם כאמור באותה פסקת משנה. דיווח לפי סעיף זה יכול שיוגש באופן מקוון באתר (ג) האינטרנט של מערך הסייבר הלאומי, בהודעה טלפונית למרכז הלאומי או בדרך אחרת שהורה עליה ראש מערך הסייבר הלאומי ופורסמה באתר האינטרנט כאמור. על אף האמור בסעיף קטן (ג), ספק של גוף מהגופים (ד) לתוספת הראשונה לחוק להסדרת3 ו־2 המנויים בפרטים הביטחון, יגיש את הדיווח לפי סעיף זה למלמ"ב, באופן שיורה "לו ראש המלמ"ב. 3 תיקון סעיף .5 - לחוק העיקרי3 בסעיף - האמור בו יסומן "(א)" ובו )1( ;"ברישה, אחרי "נגד ספק" יבוא "או באמצעותו (א) ), במקום "בהתאם לתקן המנוי בתוספת הראשונה או לפיה" יבוא3( בפסקה (ב) "בהתאם לאמור בטור א' לתוספת", ואחרי "שנגדם בוצעה התקיפה" יבוא "ואם ;" בצירוף המסמך- מנוי בטור ב' לצידו מסמך :אחרי סעיף קטן (א) יבוא )2( משרד- , כלומר1998-הביטחון בגופים ציבוריים, התשנ"ח הביטחון, מפעלי מערכת הביטחון ומפעלים המייצרים מוצרים בעבור מערכת הביטחון, שהוגדרו בצו על ידי שר ,הביטחון, יגיש את הדיווח על תקיפת הסייבר נגדו למלמ"ב באופן שיורה לו ראש המלמ"ב. ,(א) לחוק3 מוצע להבהיר, ברישה של סעיף 5 סעיף שהוראות החוק ביחס לתקיפה חמורה, חלות הן כשתקיפת סייבר מתרחשת או עומדת להתרחש נגד ספק והן כשתקיפה כאמור מתקיימת באמצעותו. ד ב ר י ה ס ב ר הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו990 )"(ב מסר העובד המוסמך לספק הודעה כאמור בסעיף קטן (א), ימסור )1( הספק, בלא דיחוי, עדכון בדבר התקיפה החמורה לכל ארגון מקושר אשר עלול להיפגע ממנה ישירות ובאופן ממשי, וידווח על כך בכתב לעובד המוסמך, והכול אלא אם כן הורה העובד המוסמך אחרת; הוראות סעיף ).3()קטן זה לא יחולו לעניין ספק שהגיש תצהיר כאמור בסעיף קטן (א המנהל המוסמך רשאי, לפי בקשה בכתב מאת הספק, אם שוכנע כי )2( קיימות נסיבות חריגות המצדיקות זאת, לפטור את הספק מחובת היידוע ") או לדחות את מועד היידוע.1( כאמור בפסקה 4 תיקון סעיף .6 " יבוא "שניתנו לספק לפי סעיפים3 לחוק העיקרי, במקום "שנתן לספק לפי סעיף4 בסעיף ".3 )(ג) או2()א(ב2 ,)1(א2 כמו כן, בשים לב לחיבוריות הגבוהה במגזר השירותים הדיגיטליים ושירותי האחסון ולנוכח הצורך למנוע התפשטות תקיפות סייבר חמורות, מוצע לתקן את סעיף לחוק כך שיתווסף לו סעיף קטן (ב), ולקבוע בו שלאחר3 שקיבל הספק את הודעת העובד המוסמך על כך שתקיפת סייבר שמתרחשת או עומדת להתרחש נגדו היא תקיפת סייבר חמורה, הוא יידע, בלא דיחוי, כל ארגון מקושר ,שעלול להיפגע ישירות ובאופן ממשי מהתקיפה האמורה וידווח על כך לעובד המוסמך. עוד מוצע לקבוע, כי חובת היידוע לפי סעיף קטן מוצע זה, לא תחול אם הורה על כך העובד המוסמך, או שהמנהל המוסמך מצא כי מתקיימות נסיבות המצדיקות זאת, לבקשת הספק. ) לחוק, כיום, באפשרות הספק3()(א3 בהתאם לסעיף למסור תצהיר, כמפורט בתוספת לחוק, בדבר יישום הנחיות NIST 800-53 Security אבטחה בהתאם לתקן הבין־לאומי and Privacy Controls for Information Systems and .Organizations ,) לחוק כתיקונו המוצע3()(א3 מוצע לקבוע בסעיף שספק אשר יצהיר על אספקת שירותי אחסון או שירותים דיגיטליים ללקוחותיו של הספק או בדבר אספקת שירותי תחזוקה, ניהול או בקרה של שירותים כאמור ללקוחותיו של הספק, תוך יישום הנחיות אבטחה בהתאם לתקנים ,המנויים בתוספת, ובכלל האמור שילוב בין התקנים כמפורט בתוספת, וזאת לעניין כלל השירותים כאמור שהוא ,מספק, או לעניין השירותים כאמור שנגדם בוצעה התקיפה יחול לגביו הסדר ייחודי, ובכללו הוא לא יידרש למסור ידיעות או מסמכים לבחינת התקיימותה של תקיפת סייבר ,) לחוק כנוסחו בהצעת חוק זו1(א2 חמורה בהתאם לסעיף ) לחוק וכן הוא יהיה4()(א3 לא יינתנו לו הוראות לפי סעיף פטור מן החובה לעדכן ארגון מקושר על תקיפות סייבר (ב) לחוק כנוסחו המוצע.3 חמורות בהתאם לסעיף יצוין כי מדובר בתקנים בין–לאומיים מקצועיים שיש בהם כדי לתת מענה לתקיפות מורכבות. עמידה בדרישות המפורטות בתקנים אלה, אשר מוכרים ונגישים במגזר השירותים הדיגיטליים ושירותי האחסון, מעידה על יכולת התמודדות טובה עם איומי סייבר, המביאה לצמצום משמעותי של הסיכון הנשקף מתקיפת סייבר אצל ספק. רשימת התקנים והשילובים ביניהם, נבחרו מאחר שלגופים העומדים בהם יש נהלים, מדיניות ארגונית ותהליכים ארגוניים שמבטיחים טיפול הולם בתקיפות חמורות. ספק המוסמך לפי אחד או יותר מתקני הליבה המנויים בתצהיר מפגין רמה יחסית גבוהה של מוכנות ניהולית ותהליכית בהתמודדות עם איומי סייבר. הסמכה כאמור מעידה על כך שהארגון מיישם גישה שיטתית לזיהוי ולניהול סיכונים, מחזיק במדיניות סדורה, מבצע ,מיפוי תהליכים ונכסים, ומפעיל בקרות להגנה, זיהוי תגובה ושיקום. נוסף על כך, קיימת התמקדות בהגברת Best המודעות הארגונית ובהטמעת תהליכים מבוססי , תוך שילוב אחריות הנהלה גבוהה. העמידהPractices בתקנים אלה מבטאת יישום של עקרונות חוסן דיגיטלי והיערכות מקצועית להתמודדות עם תרחישים מורכבים. תקנים אלה מהווים מסגרת יציבה ואמינה ליצירת מערך אבטחת מידע והגנת סייבר מודרנית, והם תומכים ביישום הן- רציף של שיפור ותחזוקה של מערך הסייבר הארגוני ברמה הניהולית והן ברמה האופרטיבית. לצד אלה, התקנים המשלימים המנויים בתוספת משמשים חיזוק נקודתי במרחבי סיכון ייחודיים, כגון , שרשרת אספקהICS ,פיתוח מאובטח, אבטחת ענן, פרטיות ותגובה לאירועים. שילוב בין תקן ליבה ותקן משלים מספק כיסוי רוחבי סביר ועומק הגנתי המהווים יחדיו מענה טוב לתקיפות סייבר חמורות. לחוק קובע שעובד מוסמך יתעד בכתב4 סעיף 6 סעיף לחוק3 את ההוראות שניתנו לספק לפי סעיף ,וימסור לאותו ספק, בהקדם האפשרי לאחר מתן ההוראה נוסח כתוב של ההוראות, שאינו מכיל מידע מסווג. לנוכח התיקונים בהצעת חוק זו, מוצע להוסיף חובת תיעוד דומה ד ב ר י ה ס ב ר 991 הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו 6 תיקון סעיף 7. (ב) לחוק העיקרי, אחרי "בתקיפת הסייבר החמורה" יבוא "ולעניין תקיפת סייבר6 בסעיף בסמוך לאחר קבלת- , שהיא אינה תקיפת סייבר חמורה2 שנקבע, לפי הוראות סעיף החלטה על כך שהתקיפה אינה מהווה תקיפת סייבר חמורה". 8 תיקון סעיף .8 - (א) לחוק העיקרי8 בסעיף ;")4()(א3 )" יבוא "סעיף4(3 א), במקום "סעיף1(–) ו1( בפסקאות )1( ;")(א3 " יבוא "סעיף3 ), במקום "סעיף2( בפסקה )2( :) יבוא4( אחרי פסקה )3( א, על כך שמתרחשת2 )  מספר המקרים שבהם דיווח ספק, לפי הוראות סעיף5(" ;נגדו תקיפת סייבר כאמור באותו סעיף )  מספר המקרים שבהם הורה עובד מוסמך לספק שלא למסור לארגון מקושר6( ").1()(ב3 עדכון בדבר תקיפת סייבר חמורה, לפי הוראות סעיף 10 תיקון סעיף .9 בתוספת הראשונה לחוק בתי משפט לעניינים65 לחוק העיקרי, בפרט10 בסעיף חרבות ברזל)" יבוא- , המובא בו, במקום "(הוראת שעה2‏2000-מינהליים, התש"ס "(הוראת שעה)". 12 תיקון סעיף .10 )" יבוא " ז' בניסן2025 בנובמבר17( לחוק העיקרי, במקום "כ"ו בחשוון התשפ"ו12 בסעיף )".2026 במרץ25( התשפ"ו החלפת התוספת .11 :במקום התוספת לחוק העיקרי יבוא על ידי העובד המוסמך גם ביחס לדרישת ידיעות ומסמכים ) לחוק כנוסחו המוצע1(א2 של המנהל המוסמך לפי סעיף וביחס לדרישה של מנהל מוסמך לקבלת דיווח ביניים לפי )(ג) המוצע.2()א(ב2 סעיף (ב) לחוק קובע6 במסגרת ההסדר הקיים, סעיף 7 סעיף ,שמידע שהתקבל מספק לפי הוראות החוק ,יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה אלא אם כן קבע מנהל מוסמך שהמידע כאמור חיוני לזיהוי (ב) האמור6 מאפייני תקיפת הסייבר. מוצע לתקן את סעיף ,תוך הוספת הקביעה כי לעניין תקיפת סייבר שנקבע לגביה , לחוק, שהיא אינה תקיפת סייבר חמורה2 לפי הוראות סעיף יימחק המידע בסמוך לאחר קבלת החלטה על כך שהתקיפה אינה מהווה תקיפת סייבר חמורה, אלא אם כן קבע מנהל מוסמך שהמידע חיוני לזיהוי מאפייני תקיפת הסייבר. מידע שנקבע לגביו כאמור, יישמר בהיקף המזערי הנדרש. לשם קיום פיקוח ובקרה שוטפים על פעולותיהם 8 סעיף ,של הגורמים המוסמכים לפי הוראות חוק זה מוצע לקבוע כי תורחב חובת הדיווח ליועץ המשפטי לממשלה ולוועדת החוץ והביטחון של הכנסת, הקבועה לחוק, כך שתתווסף חובת דיווח לעניין מספר8 בסעיף ,א לחוק2 המקרים שבהם דיווח ספק, לפי הוראות סעיף כנוסחו בהצעת חוק זו, על כך שמתרחשת נגדו תקיפת סייבר לפי הסעיף האמור, וכן לעניין מספר המקרים שבהם הורה עובד מוסמך לספק שלא למסור לארגון מקושר עדכון ) לחוק1()(ב3 בדבר תקיפת סייבר חמורה, לפי הוראות סעיף כנוסחו בהצעת חוק זו. לתוספת הראשונה65 מוצע לערוך התאמה בפרט 9 סעיף ,לחוק בתי משפט לעניינים מינהליים לחוק, בעקבות שינוי שם10 , המובא בסעיף2000-התש"ס להצעת החוק.1 החוק כמוצע בסעיף לנוכח האיומים והערכות של גורמי המקצוע10 סעיף בגופים, כמתואר לעיל, וכן הצורך במתן פרק זמן שיאפשר לבחון את אופן יישומם של ההסדרים החדשים המוצעים, מוצע להאריך את תוקפו של החוק, כהוראת ).2026 במרץ25( שעה, עד יום ז' בניסן התשפ"ו כאמור, במסגרת הצעת החוק מוצע לקבוע 11 סעיף כי ספק שהגיש תצהיר בדבר אספקת שירותי אחסון או שירותים דיגיטליים ללקוחותיו של הספק או בדבר אספקת שירותי תחזוקה, ניהול או בקרה של שירותים כאמור ללקוחותיו של הספק, תוך יישום הנחיות אבטחה בהתאם לתקנים המנויים בתוספת, לפי העניין, לעניין כלל השירותים כאמור שהוא מספק או לעניין השירותים כאמור שנגדם בוצעה התקיפה, יהיה פטור מן הדרישה למסור ידיעות או מסמכים לבחינת התקיימותה של תקיפת סייבר ) לחוק כנוסחו המוצע בהצעת1(א2 חמורה בהתאם לסעיף ) לחוק; וכן4()(א3 חוק זו; לא יינתנו לו הוראות לפי סעיף .192 'ס"ח התש"ס, עמ 2 ד ב ר י ה ס ב ר הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו992 "תוספת ))3()(א3 (סעיף 'טור א התקן 'טור ב המסמך .1 הספק מיישם את הדרישות לצורך NIST 800-53 עמידה בתקן Security and Privacy Controls for Information Systems and ;Organizations (high) .2 הספק מיישם את הדרישות לצורך :עמידה בשניים מתקני הליבה שלהלן 27001 או ת"יISO/IEC 27001 )1(תעודת הסמכה בתוקף SOC 2 Type 2 )2( Attestation תעודת הסמכה או דוח בתוקף CMMC Level 3 )3( תעודת הסמכה או דוח הערכה DCMA DIBCAC ) על ידיAssessment( (Defense Contract Management Agency - Defense Industrial Base )Cybersecurity Assessment Center NIST 800-53 Security and )4( Privacy Controls for Information Systems and Organizations )Moderate( Authorization To Operate מסמך ) קבוע ובתוקף, החתום על ידיATO( מוסמךAuthorizing Official (AO) מטעם סוכנות פדרלית, משרד ממשלתי ,או גוף ציבורי אחר בארצות הברית ATO( ומצורף בלי תנאים מגבילים Plan of ) ובלי פריטיwith Conditions ,Action and Milestones (POA&M) שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמת .Moderate .3 :הספק מקיים את שני אלה הספק מיישם את הדרישות )1( לצורך עמידה בתקן אחד מתקני הליבה ,שלהלן ומצורף אישור כמפורט לצידו וכמו כן הספק מקיים את הבקרות הנדרשות בהתאם לתקן נוסף מתקני :הליבה שלהלן או ת"יISO/IEC 27001  )(א 27001 תעודת הסמכה בתוקף 993 הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו 'טור א התקן 'טור ב המסמך SOC 2 Type 2  )(ב תעודת הסמכה או דוח אימות תאימות ) בתוקףAttestation( CMMC Level 3  )(ג תעודת הסמכה או דוח הערכה DCMA DIBCAC ) על ידיAssessment( (Defense Contract Management Agency - Defense Industrial Base )Cybersecurity Assessment Center NIST 800-53 Security  )(ד and Privacy Controls for Information Systems and Organizations (Moderate) Authorization To Operate מסמך ) קבוע ובתוקף, החתום על ידיATO( מוסמךAuthorizing Official (AO) מטעם סוכנות פדרלית, משרד ממשלתי ,או גוף ציבורי אחר בארצות הברית ATO with( ומצורף בלי תנאים מגבילים Plan of Action ) ובלי פריטיConditions , שמועדand Milestones (POA&M) ,הטיפול בהם חלף במועד הגשת התצהיר Moderate וזאת בהתאם לרמת הספק מיישם את הדרישות )2( לצורך עמידה בתקן אחד מהתקנים :המשלימים שלהלן ISO/IEC 27017 (א)  תקן ISO/IEC 27018 (ב)  תקן ISO/IEC 27034 (ג)  תקן ISO/IEC 27035 (ד)  תקן ISO/IEC 27701 (ה)  תקן תעודת הסמכה PCI DSS (ו)  תקן IEC 62443 (ז)  תקן ISO 22301 (ח)  תקן SOC 2 Type 1 (ט)  תקן 2 (י)  תקן "רב מגן" ברמה אישור בכתב מאת משרד הביטחון CIS - Critical תקן (יא) Security Control (IG3( CIS דוח אימות תאימות מאת Securesuite Members הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו994 'טור א התקן 'טור ב המסמך .4 :הספק מקיים את כל אלה הספק מיישם את הדרישות )1( לצורך עמידה בתקן אחד מהתקנים :שלהלן CMMC Level 3   )(א תעודת הסמכה או דוח הערכה DCMA DIBCAC ) על ידיAssessment( (Defense Contract Management Agency - Defense Industrial Base )Cybersecurity Assessment Center NIST 800-53 Security  )(ב and Privacy Controls for Information Systems and Organizations (Moderate) ATO (Authorization To מסמך ) קבוע ובתוקף, החתום על ידיOperate מוסמךAuthorizing Official (AO) מטעם סוכנות פדרלית, משרד ממשלתי ,או גוף ציבורי אחר בארצות הברית ATO ומצורף בלא תנאים מגבילים Plan of ) ובלי פריטיwith Conditions( ,Action and Milestones (POA&M) שמועד הטיפול בהם חלף במועד הגשת Moderate התצהיר, וזאת בהתאם לרמת הספק מקיים את הבקרות )2( הנדרשות בהתאם לתקן אחד מתקני :הליבה שלהלן או ת"יISO/IEC 27001  )(א 27001 SOC 2 Type 2  )(ב הספק מקיים את הבקרות )3( הנדרשות בהתאם לתקן אחד מהתקנים :המשלימים שלהלן ISO/IEC 27017 (א)  תקן ISO/IEC 27018 (ב)  תקן ISO/IEC 27034 (ג)  תקן ISO/IEC 27035 (ד)  תקן ISO/IEC 27701 (ה)  תקן NIST SP 800-161 (ו)  תקן NIST SP 800-218 (ז)  תקן PCI DSS (ח)  תקן 995 הצתוע חוקהצ1 - הלשממה קוח תועהצעוהצע - הלשממה קוח תו 'טור א התקן 'טור ב המסמך IEC 62443 (ט)  תקן ISO 22301 (י)  תקן SOC 2 Type 1 (יא)  תקן 2 (יב)  תקן "רב מגן" ברמה CIS - Critical  תקן (יג) Security Control (IG3( CIS דוח אימות תאימות מאת ".Securesuite Members ביטול תקנות שעת )חירום (חרבות ברזל (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי )האחסון .12 תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם תקיפות סייבר - (להלן3‏2025-חמורות במגזר השירותים הדיגיטליים ושירותי האחסון), התשפ"ה בטלות.- )תקנות שעת החירום הוראת מעבר .13 ,הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת החירום, לפני תחילתו של חוק זה יראו אותן כאילו נעשו לפי החוק העיקרי כנוסחו בחוק זה, והוראותיו יחולו עליהן. הוא יהיה פטור מהחובה לעדכן ארגון מקושר על תקיפות (ב) לחוק.3 סייבר חמורות בהתאם לסעיף בהתאם, מוצע לתקן את התוספת ולהוסיף לרשימת התקנים המנויים בה גם את החלופה של עמידה בשילובי תקנים, לצד צירוף המסמכים הנדרשים כמפורט בתוספת. הקיים היום בתוספת2 חלופה נוספת זו תחליף את פרט לחוק, כך שתימחק האפשרות לקבוע תקינה נוספת באמצעות תיקון התוספת. 1 לפרטHigh נוסף על כך, מוצע להוסיף את המונח בתוספת לחוק, שעניינו ברמה הגבוהה של התקן המנוי NIST 800-53 Security and Privacy Controls for בה . גוף המיישםInformation Systems and Organizations ), נערך באופן מיטבי להתמודדHigh( קו בסיס אבטחה גבוה עם תקיפות סייבר חמורות, שכן הוא מיישם סט מקיף של אמצעי הגנה, שנועדו להגן על סודיות, שלמות וזמינות המידע והמערכות, לנהל סיכוני אבטחה באופן פרואקטיבי ושיטתי, ולספק יכולת להגן על פעולות ונכסים קריטיים וחיוניים, באופן שמקים בסיס איתן לעמידות המערכות גם בפני האיומים החמורים ביותר. הצעת חוק זו באה להחליף את ההסדר שנקבע12 סעיף בתקנות שעת החירום השניות, ומוצע על כן לבטלן. לצד ביטול תקנות שעת החירום השניות, וכדי13 סעיף להבטיח את רציפות הדין בין אותן תקנות לבין תיקון החוק המוצע, מוצע לקבוע הוראת מעבר ולפיה יראו הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת החירום ,האמורות, כאילו נעשו לפי החוק כנוסחו בחוק המוצע והוראותיו יחולו עליהן. .1974 'ק"ת התשפ"ה, עמ 3 ד ב ר י ה ס ב ר סודר במחלקת רשומות, משרד המשפטים, והודפס במדפיס הממשלתי