הצעת חוק לקריאה השנייה והשלישית

PDF 14,026 תווים המסמך המקורי ↗
13/8/2025 :מספר פנימי2234441 :מספר סימוכין2025-001428 נספח מס' מ- 1888 '/א הצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה– 'חרבות ברזל) (תיקון מס 3), התשפ"ה– 2025 הצעת חוק זו נדונה בכנסת בקריאה הראשונה ביום כ' בתמוז התשפ"ה ( 16 ביולי2025 ) ., והועברה לוועדת החוץ והביטחון הצעת החוק מוגשת– ללא הסתייגויות – לקריאה השנייה ולקריאה השלישית ביום י"ט באב התשפ"ה( 13 באוגוסט2025 .) להצעת החוק הוגשו .בקשות רשות דיבור 13/8/2025 - 1 - הצעת חוק לקריאה השנייה ולקריאה השלישית :מספר פנימי2234441 :מספר סימוכין2025-001428 נספח מס' מ- 1888 '/א חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה– )חרבות ברזל (תיקון מס ' 3 ,)התשפ "ה– 2025 תיקון שם החוק 1. בחוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה– חרבות ברזל), התשפ"ד– 2023 1 (להלן– החוק העיקרי), בשם החוק, במקום "(הוראת שעה– חרבות ברזל)" יבוא "(הוראת .")שעה תיקון סעיף1 2. בסעיף1 לחוק העיקרי– (1) לפני ההגדרה" ""חומר מחשב", "מחשב", "פלט" ו"תוכנה" :יבוא " ""ארגון מקושר– ,ארגון שקיים חיבור, פיזי או לוגי, קבוע או עיתי בין ,מחשביו לבין מחשבי הספק, או שמתבצעת העברת חומר מחשב ;";קבועה או עיתית, בין מחשבי הספק למחשביו (2) ( בהגדרה "מנהל מוסמך", במקום פסקה3 :) יבוא (" 3) לעניין ספק של הגופים המנויים בפרטים2 ו־3 ב תוספת הראשונה לחוק להסדרת הביטחון– ראש יחידת הסייבר;";במלמ"ב (3) :אחרי ההגדרה "מערך הסייבר" יבוא """המרכז הלאומי– המרכז הלאומי לסיוע בהתמודדות עם איומי ( סייברCERT ;";), שמפעיל מערך הסייבר (4) ( בהגדרה "עובד מוסמך", בפסקה3 "), במקום "היחידה הטכנולוגית ;"יבוא "יחידת הסייבר (5) ההגדרה "הפעולות "הצבאיות המשמעותיות– .תימחק תיקון סעיף2 3. בסעיף2 לחוק העיקרי– (1) )בסעיף קטן (א – 1 'ס"ח התשפ"ד, עמ410 '; התשפ"ה, עמ426 . 13/8/2025 - 2 - )(א " ברישה, במקום ,בביטחון המדינה בביטחון הציבור או בקיום " האספקה והשירותים החיוניים" יבוא בביטחון המדינה או בביטחון הציבור, או לפגוע באופן חמור ברציפות אספקתם של שירותים חיוניים ;"לציבור (ב) ( פסקה1 ) – ;תימחק (2) :אחרי סעיף קטן (א) יבוא "(א1) היה למנהל מוסמך יסוד סביר להניח כי תקיפת סייבר שמתרחשת או שיש חשש ממשי כי היא עומדת להתרחש, היא תקיפת סייבר חמורה נגד ספק או תקיפה כאמור הנעשית באמצעות ספק, רשאי הוא, בעצמו או באמצעות עובד מוסמך, לדרוש מהספק להציג לו כל ידיעה או מסמך, לרבות פלט, כדי להבטיח או להקל את ביצועו של סעיף זה; הוראות סעיף קטן זה לא יחולו לעניין ספק שהגיש תצהיר כאמור בסעיף3 ()(א3 ;".) (3) ( בסעיף קטן (ב), במקום "בפסקאות1 ( ) עד3 ( )" יבוא "בפסקאות2־ ) ו(3 .") הוספת סעיף2א 4. אחרי סעיף2 :לחוק העיקרי יבוא "חובת דיווח 2 .א )(א ,נודע לספק על כך שמתרחשת נגדו, בפועל תקיפת סייבר משמעותית שמתקיים לגביה אחד מהמפורטים להלן,, ידווח על כך למנהל המוסמך :)בהתאם להוראות סעיף קטן (ב (1) יש חשש ממשי שהיא אינה מוגבלת ;לספק הנתקף (2) היא עלולה לפגוע באופן משמעותי בזמינות, ברציפות או במהימנות השירות ,של הספק, בהתחשב, בין השאר:באלה )(א מספר או סוג המשתמשים בשירות, שעלולים להיות מושפעים ;מהתקיפה )(ב ;סוג הפגיעה והיקפה )(ג .משך הפגיעה 13/8/2025 - 3 - )(ב לשם מילוי חובת הדיווח כאמור בסעיף קטן ( (א), יפעל ספק באחת הדרכים שבפסקאות1) או (2 :) להלן, בציון הדרך שבה בחר לפעול (1) יגיש, באופן מיידי, דיווח הכולל את הפרטים שלהלן, אם הם ידועים לו, וכל מידע אחר שיש בו כדי לסייע להערכת חומרתה של :תקיפת הסייבר והשלכותיה )(א פרטי הספק והשירותים שהוא ;מספק, ובכלל זה פרטי קשר שלו )(ב מועד תחילת ה של תקיפת הסייבר ;ומועד גילויה )(ג מידע לגבי מאפייני תקיפת הסייבר ;והשפעתה על הספק )(ד לאפשרות הנוגע מידע ש תקיפת הסייבר תשפיע באופן ממשי ;על ארגון מקושר (2) יגיש את הדיווחים בהתאם למפורט :להלן )(א יגיש, בלא דיחוי ולא יאוחר מחלוף24 שעות מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח ראשוני על יה הכולל מידע שיש בו כדי לסייע בהערכת חומרת התקיפה והשלכותיה, אם הוא ידוע לו, וכן את ,פרטי הספק והשירותים שהוא מספק ;ובכלל זה פרטי קשר שלו 13/8/2025 - 4 - )(ב יגיש, בלא דיחוי ולא יאוחר מחלוף72 שעות מהמועד שבו נודע לספק על תקיפת הסייבר, דיווח הכולל עדכון לגבי המידע שנמסר בדיווח הראשוני כאמור בפסקת משנה (א), הערכה ראשונית בדבר חומרת התקיפה והשלכותיה, ומידע הנוגע למאפייני תקיפת הסייבר ולמזהי התקיפה, והכול אם המידע ;האמור ידוע לו )(ג יגיש, לפי דרישה מאת המנהל המוסמך, בעצמו או באמצעות עובד מוסמך, ובמועד שיקבע המנהל המוסמך, דיווח ביניים הכולל עדכון לגבי המידע שנמסר לפי פסקאות ;)משנה (א) או (ב )(ד יגיש, לא יאוחר מחלוף30 ימים מהמועד שבו הגיש את הדיווח לפי פסקת משנה (ב), דיווח הכולל את הפרטים שלהלן (להלן– דיווח :)מסכם (1) תיאור מפורט על אודות לרבות הסייבר, תקיפת ;חומרתה והשלכותיה (2) סוג תקיפ ת הסייבר מקור שהיוו והגורמים מיטב לפי להתרחשותה, ;ידיעתו של הספק 13/8/2025 - 5 - (3) אופן הטיפול ב תקיפת הסייבר , לרבות פירוט בדבר אמצעים שננקטו או שעדיין ננקטים לשם כך, למעט סוד מסחרי הנוגע ישירות לאופן הטיפול בתקיפ הסייבר ת ;ולאמצעים כאמור )(ה על אף האמור בפסקת משנה (ד), אם לא הסתיים הטיפול בתקיפת הסייבר במועד הדיווח כאמור באותה פסקת משנה, יגיש הספק, באותו מועד, דיווח על התקדמות הטיפול בתקיפ ת הסייבר , הכולל את הפרטים לפי אותה פסקת משנה, אם הם ידועים לו; הסתיים הטיפול בתקיפ ת הסייבר , יגיש הספק, לא יאוחר מ־30 ,ימים לאחר סיום הטיפול בתקיפה דיווח מסכם כאמור באותה פסקת .משנה )(ג דיווח לפי סעיף זה יוגש למנהל המוסמך באמצעות המרכז הלאומי באופן מקוון באתר האינטרנט של מערך הסייבר, בהודעה טלפונית למרכז הלאומי או בדרך אחרת שהורה עליה ראש מערך הסייבר.ופורסמה באתר האינטרנט כאמור )(ד על אף האמור)בסעיף קטן (ג , ספק של גוף מהגופים המנויים בפרטים2 ו־3 ב תוספת הראשונה לחוק להסדרת הביטחון, יגיש את הדיווח לפי סעיף ".זה למלמ"ב, באופן שיורה לו ראש המלמ"ב תיקון סעיף3 5. בסעיף3 לחוק העיקרי– (1) האמור בו יסומן "(א)" ובו– )(א ;"ברישה, אחרי "נגד ספק" יבוא "או באמצעותו 13/8/2025 - 6 - )(ב ( בפסקה3), במקום "בהתאם לתקן המנוי בתוספת "או לפיה יבוא "בהתאם לאמור בטור א' לתוספת", ואחרי "שנגדם בוצעה התקיפה" יבוא "ואם 'בטור ב לתוספת מנוי לצידו מסמך– בצירוף ;"המסמך (2) :אחרי סעיף קטן (א) יבוא )"(ב (1) ,)מסר העובד המוסמך לספק הודעה כאמור בסעיף קטן (א ימסור הספק, בלא דיחוי, עדכון בדבר תקיפ ת הסייבר החמורה ,לכל ארגון מקושר אשר עלול להיפגע ממנה ישירות ובאופן ממשי וידווח על כך בכתב לעובד המוסמך, והכול אלא אם כן הורה העובד המוסמך אחרת; הוראות סעיף קטן זה לא יחולו לעניין ()ספק שהגיש תצהיר כאמור בסעיף קטן (א3 .) (2) המנהל המוסמך רשאי, לפי בקשה בכתב מאת הספק, אם שוכנע כי קיימות נסיבות חריגות המצדיקות זאת, לפטור את ( הספק מחובת היידוע כאמור בפסקה1) או לדחות את מועד ".היידוע תיקון סעיף4 6. בסעיף4 לחוק העיקרי, במקום "שנתן לספק לפי סעיף3" יבוא "שניתנו לספק לפי סעיפים2(א1 ,) 2 ()א(ב2 )(ג) או3 ." תיקון סעיף6 7. בסעיף6(ב) לחוק העיקרי, אחרי "בתקיפת הסייבר החמורה" יבוא "ולעניין תקיפת סייבר שנקבע, לפי הוראות סעיף2, שהיא אינה תקיפת סייבר חמורה – ."בסמוך לאחר קבלת החלטה על כך שהתקיפה אינה תקיפת סייבר חמורה תיקון סעיף8 8. בסעיף8 (א) לחוק העיקרי– (1) בפ( סקאות1־ ) ו(1 א), במקום "סעיף3(4 )" יבוא "סעיף3 ()(א4 ;") (2) ( בפסקה2 ), במקום "סעיף3 " יבוא "סעיף3 ;")(א (3) ( אחרי פסקה4 :) יבוא "(5) מספר הספקים שנדרשו להציג למנהל מוסמך ידיעה או מסמך לפי הוראות סעיף2(א1); (6) ,מספר המקרים שבהם דיווח ספק לפי הוראות סעיף2א, על כך ;שמתרחשת נגדו תקיפת סייבר כאמור באותו סעיף 13/8/2025 - 7 - (7) מספר המקרים שבהם הורה עובד מוסמך לספק שלא למסור לארגון מקושר עדכון בדבר תקיפת סייבר חמורה, לפי הוראות סעיף 3 ()(ב1 ".) תיקון סעיף10 9. בסעיף10 ,לחוק העיקרי המתקן את חוק בתי משפט,לעניינים מינהליים התש"ס– 2000 2 , בפרט65 לתוספת הראשונה לחוק האמור המובא בו, במקום "(הוראת שעה– .")חרבות ברזל)" יבוא "(הוראת שעה תיקון סעיף12 10 . בסעיף12 ( לחוק העיקרי, במקום "כ"ו בחשוון התשפ"ו17 בנובמבר2025 ") " יבוא( י"ג בשבט התשפ"ו31 בינואר2026 ) ." החלפת התוספת 11 . :במקום התוספת לחוק העיקרי יבוא "תוספת (סעיף3 ()(א3 )) 'טור א 'טור ב התקן המסמך 1. הספק מיישם את הדרישות לצורך עמידה בתקןNIST 800-53 Security and Privacy Controls for Information Systems and Organizations (high) 2. הספק מיישם את הדרישות לצורך עמידה בשניים מתקני :הליבה שלהלן (1) 27001 ISO/IEC או ת"י 27001 תעודת הסמכה בתוקף (2) 2 SOC 2 Type תעודת הסמכה או דוח Attestation בתוקף (3) 3 CMMC Level תעודת הסמכה או דוח הערכה ( Assessment ) על ידיDCMA DIBCAC ( Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center ) 2 'ס"ח התש"ס, עמ192 . 13/8/2025 - 8 - (4) NIST 800-53 Security and Privacy Controls for Information Systems and Organizations ( Moderate ) מסמךAuthorization To Operate ( ATO ) קבוע ובתוקף, החתום על ידיAuthorizing Official (AO) ,מוסמך מטעם סוכנות פדרלית משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף ( בלי תנאים מגביליםATO with Conditions ) ובלי פריטיPlan of Action and Milestones (POA&M) , שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמתModerate 3. הספק מ:קיים את שני אלה (1) הספק מיישם את הדרישות לצורך עמידה בתקן אחד מתקני הליבה שלהלן ,ומצורף אישור כמפורט לצידו וכמו כן הספק מקיים את הבקרות הנדרשות בהתאם לתקן :נוסף מתקני הליבה שלהלן )(א 27001 ISO/IEC או ת"י27001 תעודת הסמכה בתוקף )(ב 2 SOC 2 Type תעודת הסמכה או דוח אימות ( תאימותAttestation) בתוקף )(ג 3 CMMC Level תעודת הסמכה או דוח הערכה ( Assessment ) על ידיDCMA DIBCAC (Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center) 13/8/2025 - 9 - )(ד NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Moderate) מסמךAuthorization To Operate ( ATO ) קבוע ובתוקף, החתום על ידיAuthorizing Official (AO) ,מוסמך מטעם סוכנות פדרלית משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף ( בלי תנאים מגביליםATO with Conditions ) ובלי פריטיPlan of Action and Milestones (POA&M) , שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמתModerate (2) הספק מיישם את הדרישות לצורך עמידה בתקן אחד מהתקנים המשלימים :שלהלן )(א תקן27017 ISO/IECתעודת הסמכה )(ב תקן27018 ISO/IECתעודת הסמכה )(ג תקן27034 ISO/IECתעודת הסמכה )(ד תקן27035 ISO/IECתעודת הסמכה )(ה תקן27701 ISO/IECתעודת הסמכה )(ו תקןPCI DSS תעודת הסמכה )(ז תקן62443 IEC תעודת הסמכה )(ח תקן22301 ISO תעודת הסמכה )(ט תקן1 SOC 2 Type תעודת הסמכה )(י "תקן "רב מגן ברמה2 אישור בכתב מאת ה מלמ"ב )(יא תקןCIS - Critical Security Control (IG3) דוח אימות תאימות מאתCIS Securesuite Members 4. :הספק מקיים את כל אלה (1) הספק מיישם את הדרישות לצורך עמידה בתקן :אחד מהתקנים שלהלן 13/8/2025 - 10 - )(א 3 CMMC Level תעודת הסמכה או דוח הערכה ( Assessment ) על ידיDCMA DIBCAC (Defense Contract Management Agency - Defense Industrial Base Cybersecurity Assessment Center) )(ב NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Moderate) מסמךAuthorization To Operate ( ATO ) קבוע ובתוקף, החתום על ידיAuthorizing Official (AO) ,מוסמך מטעם סוכנות פדרלית משרד ממשלתי או גוף ציבורי אחר בארצות הברית, ומצורף בלא תנאים( מגביליםATO with Conditions ) ובלי פריטיPlan of Action and Milestones (POA&M) , שמועד הטיפול בהם חלף במועד הגשת התצהיר, וזאת בהתאם לרמתModerate (2) הספק מקיים את הבקרות הנדרשות בהתאם לתקן אחד :מתקני הליבה שלהלן )(א 27001 ISO/IEC או ת"י27001 )(ב SOC 2 Type 2 (3) הספק מקיים את הבקרות הנדרשות בהתאם לתקן אחד :מהתקנים המשלימים שלהלן )(א תקן27017 ISO/IEC )(ב תקן27018 ISO/IEC )(ג תקן27034 ISO/IEC )(ד תקן27035 ISO/IEC )(ה תקן27701 ISO/IEC )(ו תקןNIST SP 800- 161 )(ז תקןNIST SP 800- 218 13/8/2025 - 11 - )(ח תקןPCI DSS )(ט תקן62443 IEC )(י תקן22301 ISO )(יא תקן1 SOC 2 Type )(יב "תקן "רב מגן ברמה2 ג (י) תקןCIS - Critical Security Control (IG3) דוח אימות תאימות מאתCIS Securesuite Members ". ביטול תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים )ושירותי האחסון 12 . תקנות שעת חירום (חרבות ברזל) (סמכויות נוספות לשם התמודדות עם ,)תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון התשפ"ה– 2025 3 (להלן– )תקנות שעת החירום– .בטלות הוראת מעבר 13 . הוראות שניתנו ופעולות שבוצעו לפי תקנות שעת החירום, לפני תחילתו של חוק זה, יראו אותן כאילו נעשו לפי החוק העיקרי כנוסחו בחוק זה, והוראותיו .יחולו עליהן *************************************************************************************** 3 'ק"ת התשפ"ה, עמ2318 ( , מיום כ"ז בתמוז התשפ"ה23 ביולי2025 ). 13/8/2025 - 12 - :מספר פנימי2234441 נספח מס' מ- 1888 '/א הסתייגויות ובקשות רשות דיבור להצעת חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה– ( )חרבות ברזל תיקון מס ' 3 ,)התשפ "ה– 2025 הסתייגויות אין הסתייגויות *************************************************************************************** בקשות רשות דיבור חברי הכנסת ,מרב מיכאלי, נעמה לזימי, גלעד קריב, אפרת רייטן מרום יאיר לפיד ,מאיר כהן ,קארין אלהרר ,מירב כהן ,אלעזר שטרן ,מיקי לוי ,מירב בן ארי ,רם בן ברק ,יואב סגלוביץ ,'ז בוע ,טופורובסקי מיכל שיר סגמן, יוראי להב הרצנו, ולדימיר בליאק, רון כץ, מטי צרפתי הרכבי, טטיאנ ה מזרסקי, יסמין פרידמן, דבי ביטון, משה טור פז, סימון דוידסון, נאור שירי, שלי טל מירון, ירון לוי , ינון אזולאי ******************************** *******************************************************