תזכיר חוק חדש שהתפרסם ביום ה' האחרון (חוק הגנת הסייבר הלאומית, התשפ"ו-2026) מבקש לקבוע מסגרת אסדרה, פיקוח ואכיפה על ארגונים חיוניים וספקי שירותים דיגיטליים ושירותי אחסון. לפי התזכיר, מטרת החוק היא לחזק את החוסן הלאומי ולהבטיח תפקוד רציף ובטוח של מרחב הסייבר, על רקע עלייה בהיקף ובעוצמה של תקיפות סייבר, ובפרט מאז תחילת הלחימה באוקטובר 2023.

בין השאר, לראשונה, התזכיר מבקש להטיל חובה על כל מי שמציע שירותים לציבור אחריות "להבטחת רמת הגנת סייבר ראויה לפעילותו בהתאם לסוג ואופי פעילותו ותוך ניהול סיכון הולם".

לפי ההצעה, מערך הסייבר הלאומי יוגדר כגוף מבצעי-טכנולוגי הפועל במשרד ראש הממשלה שראש הממשלה אחראי עליו. מערך הסייבר הלאומי יהיה בין השאר אחראי לקידום ותיאום מאמצי הגנת הסייבר הלאומית, לרבות הפעלת ה-CERT הלאומי (מרכז לסיוע בהתמודדות עם אירועי סייבר) וה-NSOC (מרכז שליטה ובקרה לאומי לאיומי סייבר). לצד זאת, ברשויות מוסמכות במגזרי משק שונים תפעל “יחידה מגזרית” לקידום הגנת הסייבר, שתונחה מקצועית על ידי המערך ותעסוק במיפוי שוטף של ארגונים חיוניים, איסוף נתוני הגנה, קידום אסדרה מגזרית ואכיפה.

התזכיר מגדיר “ארגון חיוני” כגוף ממשלתי, או ארגון העומד בתבחינים מגזריים שייקבעו בתוספת ייעודית, או ארגון שיוגדר ככזה בהחלטה חריגה של הגורם המאסדר הרלוונטי, לאחר הליך שימוע וקבלת עמדת ועדה מייעצת. עוד מוצע מנגנון המאפשר להחריג ארגון מההגדרה או לכלול אותו, גם אם אינו עומד בתבחינים, בשל נסיבות חריגות הנוגעות, בין היתר, לביטחון המדינה, ביטחון הציבור, חיי אדם וכלכלת המדינה (law.co.il מעיר שהתוצאה היא אי-ודאות גדולה לגבי איזה אירגון יהיה כפוף בסופו של דבר להוראות החוק).

בנוסף, נקבעה חובה כללית של כל ארגון להבטיח “רמת הגנת סייבר ראויה” בהתאם לניהול סיכונים. לגבי ארגונים חיוניים תוטל חובה לעמוד בדרישות “רמת הגנה בסיסית” המפורטות בתוספת הרביעית לתזכיר תוך יישום הוראות רלוונטיות באחד התקנים המנויים (לרבות ISO 27001/27002 או NIST). התזכיר מאפשר לרגולטורים מגזריים לקבוע דרישות נוספות, וכן מקנה לראש מערך הסייבר סמכות, באישור ראש הממשלה ובמקרים חריגים ומוגבלים בזמן, להורות לארגונים חיוניים לנקוט אמצעים לצמצום סיכון סייבר משמעותי.

עוד מוצעת חובת דיווח מיידית של ארגון חיוני על “תקיפת סייבר משמעותית”, בין אם מדובר בפגיעה משמעותית בזמינות או רציפות השירות, חשש לגישה בלתי מורשית לנכס מידע משמעותי, או חשש להתפשטות מעבר לארגון. הדיווח יוגש למערך הסייבר ולרשות המוסמכת, בעיקר באמצעות ה-CERT הלאומי; לאחר הטיפול יימסר גם דיווח מסכם (law.co.il מציין שזוהי הכפלה/שילוש של חובות הדיווח על אירועי אבטחה – אם יהפוך התזכיר לחוק צריך יהיה למסור דיווחים למערך הסייבר הלאומי, לרשות להגנת הפרטיות וגם לרגולטור המגזרי כגון המפקח על הבנקים או רשות ההון).

במקרים של “תקיפת סייבר חמורה”, מוצעת סמכות למנהל בכיר ברשות מוסמכת ולהפעיל מנגנון מתן הוראות לארגון חיוני לצורך איתור, מניעה או בלימה של התקיפה - לאחר שניתנה לארגון הזדמנות לפעול, ובהתקיים תנאים נוספים. במקביל, במצבים מוגדרים תוכל גם הנהלת מערך הסייבר להפעיל סמכויות אלו, לרבות כלפי ספקי שירותים דיגיטליים ושירותי אחסון.

התזכיר כולל מנגנוני סנקציות: עיצומים כספיים בסכומים משמעותיים בגין אי עמידה בדרישות, ובמקרים מסוימים גם עבירות פליליות על אי קיום הוראות דחופות או הוראות להתמודדות עם תקיפה חמורה. לבסוף מוצעת תחילה כללית של החוק שלושה חודשים לאחר פרסומו, אך תחולה דחויה של חלק מהחובות המרכזיות (לרבות רמת ההגנה וחובת הדיווח) לאחר 12 חודשים.

law.co.il מזכיר את הניסיונות להסדיר את ההגנה בסייבר בישראל בחקיקה (ליתר דיוק, הנסיונות להסדיר את מעמד מערך הסייבר הלאומי בחקיקה...) –

• ביוני 2018 הופץ תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע"ח–2018, שהיה הניסיון הראשון להסדר כולל של ייעוד, תפקידים וסמכויות המערך במרחב הסייבר האזרחי כולו.
• ב־2021 התפרסמה טיוטת הצעת חוק סמכויות לשם חיזוק הגנת הסייבר (הוראת שעה), התשפ"א–2021, שנועדה להיות הסדר מצומצם וזמני במקום החוק הכולל שניסה לקדם התזכיר מ־2018.
• חוק התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון (הוראת שעה), התשפ"ד–2023 – נחקק ופורסם ב‑26.12.2023. החוק הוארך בשלושה מועדים: תחילה עד 31.3.2025, לאחר מכן עד 17.11.2025 ולבסוף עד 31.1.2026 [הצעת חוק תלויה ועומדת מבקשת להאריך את החוק עד 31.1.2027].