חוק הסייבר 2026: הגנה על המדינה או צעד אחד יותר מדי?

הממשלה הגישה לפני ימים אחדים לעיון הציבור את תזכיר חוק הגנת הסייבר התשפ"ו – 2026, שנועד לעגן בחוק, בצורה מסודרת, את הפיקוח על הגנת הסייבר הלאומית. החוק כולל את הסמכויות הקיימות ומקנה סמכויות חדשות למערך הסייבר הלאומי, וכולל את כלי הגנת הסייבר של משרדי הממשלה, גופים ציבוריים וחברות במגזרים שונים של המשק.

זהו סבב נוסף בניסיונות לחוקק חוק סייבר, שהחלו ב-2011. החקיקה נעצרה עקב ביקורת ציבורית, משברים פוליטיים, קורונה, הבחירות התכופות שהיו כאן בין 2019 ל-2021 והטלטלות שחוותה החברה הישראלית בשלוש השנים האחרונות – המשבר סביב המהפכה המשפטית, וכמובן המלחמה והמאבק להחזרת החטופים. אלא שבמיוחד לאור השנתיים האחרונות והאיומים שהבינה המלאכותית מביאה איתה, כמו גם סיבות נוספות, אין ספק שחוק סייבר הוא דבר נדרש, ויפה שעה אחת קודם.

הצעת חוק שמרחיבה את סמכויות הממשלה… יותר מדי?

תזכיר החוק הזה מרחיב מאוד את סמכויות הממשלה בכל מה שנוגע לפיקוח על הגנת הסייבר בכלל המשק, ולא רק במשרדי הממשלה ו/או בגופים שמוגדרים כחיוניים וכפופים ממילא למערך הסייבר. כך, למשל, הממשלה מציעה לאפשר למערך הסייבר לא רק להנחות את הארגונים בכל מה שקשור לגבי הגנה מפני מתקפות, אלא גם להכתיב להם איך לעשות את זה. בנוסף, במקרה של תקיפה על אותו ארגון, הממשלה, באמצעות המערך, תהיה רשאית לבקש ממנו כל חומר מחשב שהוא, כולל מידע על לקוחות, וכן על תצורות תשתיות המחשוב. הצעת החוק חלה גם על ספקים של פתרונות מחשוב, תשתיות תקשורת ושירותי אחסון שעובדים עם חברות אחרות, ומטילה עליהם אחריות ברורה לכשל אצלם או אצל הלקוחות שלהם.

האם הצעת חוק הסייבר תעבור (או תגיע בכלל) במליאת הכנסת? צילום: llgov, ShutterStock

כיום, אלא אם מדובר במשרדי הממשלה ובתשתיות לאומיות קריטיות, מערכת היחסים בין מערך הסייבר הלאומי לחברות ולארגונים במשק מבוססת על רצון טוב מצד השוק, שרואה במערך גורם מקצועי ומנחה, שמסייע מאוד. אם הצעת החוק תעבור, היא תהפוך את הרצון הטוב למסגרת רגולטורית מחייבת, עם אמצעי אכיפה וענישה – דבר שלא מקובל במדינות דמוקרטיות. בנוסף, יש יסוד סביר להניח שהיא תערער את האמון הקיים בין מערך הסייבר לגופים שהוא מנחה, ויכולות להיות לכך השלכות שיפגעו, בסופו של דבר, בנו. אמון הוא אחד הדברים הקריטיים בהגנה על מערכות מידע כה רגישות וחיוניות של חברות וארגונים, בפרט כשזה נוגע להגנת סייבר. בניסיונה להשיג "שיניים", הממשלה עלולה לעקור את הלשון – את הדיאלוג הפתוח ושיתוף המידע מרצון, שהפכו את ישראל למעצמת סייבר.

רוב החברות הרלוונטיות תומכות עקרונית בחוק הגנת סייבר. כולם מבינים שהמציאות, במיוחד בשנתיים האחרונות, מחייבת חקיקה שמטילה רגולציה על ההגנה על המידע, בפרט בחברות שפעילותן משפיעה השפעה רוחבית על המדינה, ושפגיעה בהן עלולה להביא לשיתוק ונזקים. אבל לדעת אותם גורמים, לרבות בממשלה, החוק כולל גם אמצעי אכיפה מנהליים על גורמים שלא יפעלו בהתאם אליו, אם וכאשר יתקבל – וזה כבר יותר מדי.

אותם גורמים מעריכים שכמו בניסיונות הקודמים לחוקק חוק סייבר, גם הפעם תהיה ביקורת מצד ספקיות ה-IT והמחשוב, וחברות ההיי-טק בכלל. אגב, חלק מהחברות שהחוק אמור לחול עליהן הן שלוחות של חברות רב לאומיות, ולא ברור כיצד האכיפה תתבצע במקרה זה.

ההיסטוריה של החוק

כאמור, זו אינה הפעם הראשונה שבה מוגשת הצעת חוק בנושא זה. זה עוד סיבוב בסאגה הארוכה, שלא לומר הבלתי נגמרת, ששמה "חוק הסייבר". היא החלה עוד ב-2011, כאשר הממשלה החליטה על אימוץ יסודות למדיניות סייבר לאומית. בעקבות זה הוקם מטה הקיברנטי הלאומי במשרד ראש הממשלה (שגם אז היה בנימין נתניהו), עם מיקוד בהגנת תשתיות קריטיות, כלכליות וביטחוניות. אבל כבר אז הבינו שאין כלי אכיפה וחקיקה מתאימים, והחלו לגבש את חוק הסייבר, שיאפשר לתת לממשלה סמכויות כאלה, כמו גם חובת דיווח ויכולת לדרוש מהארגונים צעדי הגנה.

אם החוק יתקבל, הוא יערער את האמון הקיים בין מערך הסייבר לגופים שהוא מנחה, שהוא אחד הדברים הקריטיים בהגנה על מערכות מידע כה רגישות וחיוניות של חברות וארגונים. בניסיונה להשיג "שיניים", הממשלה עלולה לעקור את הלשון – את הדיאלוג הפתוח ושיתוף המידע מרצון, שהפכו את ישראל למעצמת סייבר

לקחו עוד כמה שנים עד שגובשה הצעת חוק ראשונה בתחום הסייבר – זה קרה ב-2017. ביום האחרון של אותה השנה אף הוקם מערך הסייבר הלאומי, שאיחד את פעילויות המטה הקיברנטי וה-CERT (צוות התגובה לאירועי סייבר) הלאומי. מלאכת ניסוח הצעת החוק לקח עוד קצת זמן, והיא הוגשה לכנסת ב-2018. ההצעה זכתה לביקורת חריפה מצד החברה האזרחית, בעיקר בגלל חשש לפגיעה בפרטיות ומתן סמכויות רחבות מדי לגוף ממשלתי, ללא פיקוח שיפוטי. בין הגופים המתנגדים היו האגודה לזכויות האזרח, לשכת עורכי הדין ונציגי ענף ההיי-טק, בעיקר חברות פרטיות.

אם יעבור, האם חוק הסייבר באמת יגן על ישראל? צילום: Aleksander Malivuk, ShutterStock

בעקבות זאת, החקיקה לא עברה והמדינה החליטה לשנות אסטרטגיה: במקום הצעת חוק, הוחלט להשאיר את מערך הסייבר כגוף שבסמכותו להנחות רק משרדי ממשלה וגופי תשתיות קריטיות, לחזק את המערך כגוף אזרחי ולא ביטחוני, ולהסתמך על שיתופי מידע וולונטריים. באותן שנים, החוק גם נפל קורבן למשברים הפוליטיים, הקורונה ועוד.

ב-2022, משרד המשפטים ומערך הסייבר גיבשו נוסח מצומצם יותר של החוק, אבל גם הפעם הוא נתקע בין הממשלה לכנסת. עכשיו, כאמור, הממשלה שוב מבקשת להביא את החוק למליאת הכנסת. גם אם בשוק טוענים שהממשלה הלכה רחוק מדי עם החוק, עדיין מדובר בנוסח מרוכך יותר לעומת הצעת החוק מ-2018 – ועדיין, יש הטוענים שמדובר בהליכה רחוק מדי.

השורה התחתונה: אין ספק שמדינת ישראל זקוקה לחוק סייבר, שייתן יותר שיניים למערך הסייבר הלאומי, ויגביר את המודעות להגנה על סייבר, אבל אסור שהתוצאה שלו תהיה הגברת שליטה ממשלתית והגבלה על חופש המידע והפרטיות, ללא מנגנוני פיקוח ושקיפות. יש לקוות שהממשלה תתחשב בתגובות החברות במשק והארגונים האזרחיים, וסוף סוף, אחרי 15 שנה, תצליח להעביר חוק הגנת סייבר ראוי לשמו. לאור המשברים הפוליטיים והעובדה שמדובר בשנת בחירות, ספק אם זה יקרה.