הכנסת אישרה אמש בקריאה ראשונה וללא התנגדות את הצעת חוק הסייבר הלאומי. הצעת החוק מבקשת ליצור מסגרת אחידה ומחייבת להגנת הסייבר ברמה הלאומית.
ההצעה מבקשת לקבוע סף אחיד לחובות האבטחה — ובכלל זה חובות דיווח על אירועים ומנגנוני פיקוח רגולטורי מובנים — שיחולו על תשתיות קריטיות וספקי שירותים דיגיטליים. על-פי מערך הסייבר הלאומי, היא כוללת מספר עקרונות מרכזיים:
- קביעת רף הגנה מחייב וניהול סיכונים – הגדרת דרישות הגנה ותקינה מקצועית שיבטיחו את רציפות התפקוד של ארגונים חיוניים וספקי שירותים דיגיטליים.
- חובת דיווח על תקיפת סייבר משמעותית - ואפשרות למתן הנחיות להתמודדות עם תקיפת סייבר חמורה.
- מנגנון הנחיה ופיקוח מקצועי – הארגונים החיוניים יפוקחו על ידי יחידות מגזריות במשרדי הממשלה בהתאם לתחום אחריותם, תוך הנחיה מקצועית של מערך הסייבר הלאומי.
לכשיתקבל, החוק נועד להתמודד בין היתר עם מצב שבו ארגונים שונים פועלים כיום ברמות הגנה שונות ובהיעדר סטנדרט לאומי אחיד, באמצעות קביעת דרישות סייבר מחייבות המבוססות על תפיסות ותקנים בינלאומיים מקובלים.
יחד עם זה, law.co.il מעיר שהוא עתיד ליצור כאוס נורמטיבי ורגולטורי מפני שהדרישות בו שונות מאלה של תקנות הגנת הפרטיות (אבטחת מידע) והוא מוסיף על חובות הדיווח בתקנות, חובות דיווח חדשות. מאחורי הדברים עומד מאבק ארוך שנים בין מערך הסייבר הלאומי לרשות להגנת הפרטיות בשאלה מי יהיה הגורם המסדיר של תחום אבטחת המידע בישראל. נראה שלעת עתה הוחלט לא להכריע בזה ולהטיל את העומס הרגולטורי על המשק (נו שויין, עוד עבודה לעורכי דין = עוד הוצאות משפטיות = עוד נטל שיגולגל אל הלקוחות בישראל...).