תזכיר חוק הסייבר שפורסם בחודש שעבר (תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח-2018 בשמו הרשמי) אוסר, בין השאר, על גילוי "פרטים הקשורים בתקיפה או בטיפול בה שנמסרו לארגון, אלא אם התיר זאת העובד המוסמך ובתנאים שיקבע ובכפוף לכל דין". הוראה נוספת קובעת ש"לא יגלה אדם או ארגון מידע שנמסר לו אודות הוראה או מידע אחר הקשור בפעילות המערך אשר סומן בידי גורם אחראי כמידע מוגן, מידע בעל ערך אבטחתי רגיש או מידע בעל סיווג בטחוני".
אעפס, תקנות אבטחת מידע (תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 בשמן הרשמי) מחייבות ארגונים לדווח על ארועי אבטחה כשהן מורות לבעל מאגר מידע לדווח לרשם מאגרי המידע על "ארוע אבטחה חמור" ועל הצעדים שנקט בעקבות הארוע. בכך, עוגנה בחקיקה הישראלית החובה הידועה כ-Data Breach Notification, עשור אחרי שוועדה בראשות המשנה דאז ליועץ המשפטי לממשלה, יהושע שופמן, המליצה לעשות כן.
ישראל אינה המדינה הראשונה או היחידה הדורשת זאת. למעשה, היא משתרכת הרחק מאחורי שיטות זרות הדורשות הודעות כאלה. לדוגמה, ה-General Data Protection Regulation, הן ה-GDPR הידוע, כולל מנגנון מפורט שלפיו בעל השליטה במידע חייב להודיע בתוך 72 שעות לרשות הפרטיות המפקחת כאשר התרחש ארוע אבטחה. ההודעה צריכה לכלול פרטים על ארוע האבטחה ועל האמצעים שנקט הארגון בעקבותיו.ה-GDPR כידוע לא סומך רק על רצונם הטוב של ארגונים, הוא אוכף את עצמו באמצעות קנסות כבדים העלולים להגיע ל-4% ממחזור העסקאות הגלובלי של חברות או 20 מיליון אירו, לפי הגבוה. ומה שרלבנטי יותר מכל - ה-GDPR חל במישרין על חברות ישראליות המציעות מוצרים ושירותים ליחידים באירופה או מנטרות את התנהגותן. עוד קודם לכן, חוקים בכל 50 מדינות ארצות-הברית מחייבים מתן הודעה כזו כאשר נפגע מידע אישי המתייחס לתושביהן.
בשורה התחתונה - תזכיר חוק הסייבר מבקש לאסור על חברות להודיע על תקיפת סייבר וצעדים שנקטו בעקבותיה בהוראת מערך הסייבר הלאומי; תקנות אבטחת מידע הישראליות וה-GDPR מחייבים לתת בדיוק את ההודעה שהתזכיר מבקש לאסור. מי יגבר? ככל שמדובר בישראל יימצא מי שיטען שכאשר התזכיר יהפוך לחוק הוא יגבר על התקנות, שבמדרג החקיקתי מצויות מתחתיו. אבל מה יהיה על המתח בין חובת ההודעה לפי הדינים הבינלאומיים החלים על חברות ישראליות לבין התזכיר?
דממה דקה.