"מנהלי אבטחת המידע בארגונים 'טובעים' מרוב רגולציות"

"ארגונים ישראליים רבים פועלים גם בחו"ל, מול ארגונים וממשלות ברחבי העולם. מצב זה דורש מהם לענות על הרגולציות והחוקים השונים, בהתאם לתקנות הנהוגות במדינת היעד – ולעשות זאת במגוון תחומים, ביניהם בעולם התוכן של הגנת הפרטיות. מנהלי ומנהלות אבטחת המידע בארגונים 'טובעים' מרוב רגולציות – ועליהם.ן לעשות סדר בתחום", כך אמר דורון סיון, מנכ"ל מדסק (Madsec Security) מבית SQLink.

סיון דיבר במפגש של פורום CSC מבית אנשים ומחשבים, שנערך השבוע (ב') במשרדי SQLink ברמת גן ונדונו בו אתגרי הסייבר של הארגונים השנה. את המפגש הנחו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, וסיון עצמו.

לדבריו, "הרגולציות הן דינמיות, רבות, משתנות מעת לעת, ובכל מגזר יש רגולציות מגזריות. צריך לדעת לנווט את הארגון דרך הרגולציות השונות, ולעשות זאת באופן שיענה על הדרישות ובצורה מושכלת".

דוגמאות מאירופה – ומישראל

"כל מנהל.ת אבטחה, בכל ארגון, נדרש.ת להבין אילו מהרגולציות רלוונטיות לארגון שלו.ה וחלות עליו. כך, למשל, יש לבדוק אילו מהרגולציות של האיחוד האירופי חלות באופן גורף, על כלל מדינות האיחוד, ואילו מהן באופן חלקי ופרטני", ציין סיון. "לדוגמה, כשאנחנו באים לעבוד מול חברה שמקום מושבה באירופה, עלינו לבדוק מראש מהן הרגולציות הקשורות אלינו, למשל GDPR (תקנות הגנת הפרטיות של האיוד האירופי – י"ה). אם לא נעשה זאת, לא נוכל לעשות עסקים באירופה".

הוא הביא דוגמה נוספת מאירופה – חוק חוסן הסייבר (Cyber Resilience Act) של האיחוד. "זהו חוק שכולל הוראות שמטרתן להגביר את בטיחות הסייבר של מכשירים ותוכנות דיגיטליות באיחוד האירופי. ב-2024, הצעת החקיקה אושרה בפרלמנט ובמועצת האיחוד האירופי, והיא צפויה להיכנס לתוקף בדצמבר 2027. על כלל הארגונים להראות כי הם עומדים בתקני החוק הזה", אמר.

"מצבים נוספים שבהם נדרשת עמידה בתקנות וברגולציות הם, לדוגמה, כאשר חברה ישראלית מטפלת בנתוניהם של אזרחים אירופיים. אז חלה עליה חובה לעמוד בתקנות ה-GDPR. בנוסף, NIS2 היא הנחיה מחייבת של האיחוד האירופי לחיזוק הסייבר, במיוחד עבור תשתיות קריטיות וספקים חיוניים. היא כוללת מגזרים רבים, כגון אנרגיה, תחבורה, בריאות, בנקאות, שירותים דיגיטליים וניהול שרשראות אספקה. הרגולציה הזו נכנסה לתוקף ב-2023, ומאז ועד 2024 היא תורגמה לחוקים לאומיים במדינות שונות ביבשת. כלומר, הוראה כללית של האיחוד מיושמת בכל מדינה לפי חוקיה היא", הוסיף סיון.

לסיום הוא הגיע לישראל: "יש לנו את חוק הגנת הפרטיות מ-1981 ואת תיקון 13 לחוק, שנכנס תוקפו באחרונה. ישנן בישראל רגולציות כלליות, ויש כאלה מגזריות. גם כאן, התפקיד של מנהלות ומנהלי אבטחת המידע בארגונים הוא לוודא אילו מהן חלות על הארגון שלהם.ן. עליהם.ן לערוך מיפוי, לראות היכן, אם בכלל, הרגולציה נוגעת לארגון, ולהכין הסבר להנהלה. הארגון נדרש לעשות הערכת סיכונים תקופתית, לקבוע מדיניות לתחום, לאכוף אותה ולערוך בקרות פנימיות. תפקיד מנהל האבטחה הוא כפול: מנהל טכנולוגי ונושא משרה רגולטורי".