כיצד ארגונים צריכים להיערך לחוק הסייבר?

חקיקה של חוק סייבר, שיסדיר את נושא הגנת הסייבר במדינת ישראל, נמצא על הפרק כבר שנים – אולם לא התקדם, מסיבות שונות, בהן הגנת הפרטיות. אלא שבאחרונה הניחה הממשלה על שולחן הכנסת את הצעת החוק בנושא. נראה שהיא לא תעלה במושב הנוכחי והקצר, ותמתין לכנסת הבאה, אחרי הבחירות. ובכל זאת, לדברי עו"ד יניב אהרונוביץ', ארגונים צריכים להיערך כבר עכשיו לכך שהחוק, שכולל תקנות רגולטוריות שונות, יעבור. בראיון לאנשים ומחשבים הוא מסביר באילו מגזרים החוק עוסק, אילו ארגונים עלולים להתמודד עם ההשלכות שלו ומה עליהם לעשות כדי לא להיתפס לא מוכנים.

"בהחלט ייתכן שתחום רגולציית הסייבר בישראל נכנס לעידן חדש", אמר עו"ד אהרונוביץ', שותף בצוות ההיי-טק והון-הסיכון במשרד אפשטיין רוזנבלום מעוז. "הנחת הצעת החוק היא צעד משמעותי לקראת הרחבת מסגרת הפיקוח הממשלתית בסייבר והטמעת חובות אבטחת סייבר בארגונים מרכזיים. אמנם, החוק המוצע לא יחול על כל חברה פרטית, אבל המגזר הפרטי צריך להיערך כבר עכשיו לקראתו".

"המוכנות לסייבר כבר לא תהיה המלצה – אלא דרישה רגולטורית"

המומחה פירט על הצעת החוק ואמר שהיא "מתמקדת בארגונים שעמידות הסייבר שלהם חיונית לביטחון הלאומי, לביטחון הציבור, להמשכיות שירותים חיוניים או לתפקודם של שוקי מפתח. אלא שצפויות להיות לו השלכות משמעותיות על ארגונים שמפעילים שירותים חיוניים, תשתיות טכנולוגיות, פלטפורמות ענן ואירוח, שירותי IT מנוהלים ושירותי אבטחת סייבר. זאת, לצד שרשראות אספקה הקשורות לתחום הביטחון".

לדבריו, "לחברות שהרגולציה עשויה לחול עליהן ישירות, ולספקים ונותני שירותים שתומכים בגופים המפוקחים – הכיוון ברור: המוכנות בתחום אבטחת הסייבר מתפתחת במהירות מהמלצה לדרישה רגולטורית". עד היום, מערך הסייבר הלאומי פעל מול חברות אלה, במיוחד לאחר שחוו מתקפות סייבר, אולם לא היו לו סמכויות אכיפה.

ייקח עוד זמן עד שחברי הכנסת יידרשו לחוק הסייבר. צילום: llgov, ShutterStock

על אילו ארגונים במגזר הפרטי החוק עשוי להשפיע, גם אם הוא לא חל ישירות עליהם?
"צפויות להיות לו כמה השלכות – על ארגונים חיוניים ממגזרי התקשורת, האנרגיה, המים, התחבורה, המזון והשירותים החיוניים, על שרשראות אספקה בחקלאות, שירותי דיגיטל ואחסון, ועל ספקי טכנולוגיה ותשתיות – שירותי ענן, אחסון, עיבוד נתונים, תחזוקת תוכנה, SaaS, שירותי IT מנוהלים, ניטור אבטחת סייבר, תגובה לאירועים, MSSP וספקי מודיעין סייבר.

גם ספקים, נוכחיים ולעתים גם ספקים לשעבר, של מוצרים, שירותים וטכנולוגיה שחיוניים לפעילות תעשיית הביטחון וגופים מפוקחים ייאלצו להתמודד עם ההשלכות של החוק. חובות באבטחת הסייבר יוטלו גם עליהם".

מה צפוי להשתנות?
"הרגולציה שכלולה בהצעת החוק תחייב את החברות שעליהן היא תחול לקיים תוכנית אבטחת סייבר מתועדת ומבוססת סיכונים. החובות יכללו אמצעי בקרה בסיסיים בתחום הסייבר, תוכניות תיקון שאושרו בהנהלה, דיווח על אירועי סייבר, מסירת מידע ומסמכים לרשויות המוסמכות, ושיתוף פעולה עם הנחיות הרגולטור באירועי סייבר חמורים".

"משמעות הדבר היא שחברות יצטרכו להוכיח לא רק שיש להן מדיניות אבטחת סייבר, אלא שמדיניות זו מיושמת, מתועדת ועומדת בבדיקה רגולטורית. ההצעה כוללת אמצעי אכיפה מנהליים, לרבות עיצומים שונים, עם השלכות מבחינה כספית או מבחינת המוניטין", אמר עו"ד אהרונוביץ'.

ייקח עוד זמן עד שההצעה תאושר, אם בכלל, ותיכנס לתוקף, ובכל זאת, אתה אומר שארגונים צריכים להיערך לכך מבעוד מועד. מה הם צריכים לעשות?
"חברות שעלולות להיות מושפעות מהחוק נדרשות לכמה פעולות: לבדוק האם החברה נכללת, במישרין או בעקיפין, בתחום תחולת הרגולציה; לבחון את אמצעי הבקרה הקיימים בארגון למול דרישות החוק; להכין תוכנית פעולה לאישור על פערים, עם אחראים, תקציב, לוחות זמנים והוכחת תיקון פערים; לכלול בה את הגורמים המחייבים דיווח לפי חוק ואת נהלי שיתוף הפעולה עם הרגולטורים; להתייחס לסטנדרטים בתחום הסייבר, סמכויות בקרה, דיווח על אירועי סייבר, גישה לנתונים, שיתוף פעולה וחלוקת אחריות; וברמת ההנהלה, לוודא שהגורמים שמקבלים את ההחלטות מבינים את החשיפה, לוח הזמנים וההשקעה הנדרשת".

לסיכום אמר עו"ד אהרונוביץ' כי "ההצעה היא לא חוק סייבר אוניברסלי, שחולש על כל העסקים בישראל. אולם, עבור שחקנים במגזרים קריטיים, ספקי תשתיות טכנולוגיות, ספקי שירותי סייבר ושירותים מנוהלים, וחברות מהתחום הביטחוני – היא עשויה להפוך לרגולציה מחייבת. הגדרת היקף, תיעוד וטיפול מבעוד מועד יציבו את החברות בעמדה חזקה יותר אם וכאשר החקיקה תיכנס לתוקף".