10 שאלות ותשובות על חוק הגנת הסייבר הלאומי שכל ארגון חייב לענות על מנת לקבל תמונת מצב ראשונית.
לאחר שעברה בקריאה ראשונה בכנסת, הצעת חוק הגנת הסייבר הלאומי מסמנת שינוי משמעותי באופן שבו ארגונים בישראל יידרשו לנהל את סיכוני הסייבר שלהם. למרות שהחוק עדיין נמצא בהליך חקיקה, כבר כיום ניתן להבין את העקרונות המרכזיים שלו ואת ההשפעה הצפויה על ארגונים. אלו עשרת הדברים שכל הנהלה צריכה להכיר.
1. החוק אינו עוסק רק בסייבר – אלא בניהול הארגון
אחת הטעויות הנפוצות היא לחשוב שמדובר בחוק שמיועד רק לאנשי אבטחת מידע. בפועל, החוק מבקש להפוך את ניהול סיכוני הסייבר לחלק בלתי נפרד מהממשל התאגידי. האחריות אינה מוטלת רק על ה-CISO או מחלקת ה-IT, אלא גם על הנהלת הארגון והדירקטוריון.
2. המדינה מבקשת לפתור "כשל שוק"
הבסיס להצעת החוק הוא ההנחה שלא כל הארגונים משקיעים ברמת ההגנה הנדרשת כל עוד אין חובה רגולטורית. לכן, המדינה מבקשת לקבוע סטנדרט מחייב של ניהול סיכוני סייבר עבור גופים שייקבעו בחוק ובתקנות.
3. לא כל ארגון בישראל ייכלל תחת החוק
הצעת החוק אינה חלה באופן אוטומטי על כל עסק. היא מיועדת בעיקר לארגונים בעלי חשיבות למשק, גופים המספקים שירותים חיוניים וארגונים שייקבעו בהמשך על ידי המדינה. עם זאת, גם ספקים ושותפים עסקיים של אותם גופים עשויים להיות מושפעים באופן עקיף מדרישות החוק.
4. החוק אינו מחייב לרכוש מוצרי אבטחה חדשים
בניגוד לחשש של ארגונים רבים, החוק אינו מפרט אילו מערכות אבטחה יש לרכוש. הוא מתמקד בניהול סיכונים, במיפוי נכסים, בהגדרת אחריות, בתיעוד ובהיערכות. ארגון שכבר פועל לפי מסגרות כמו ISO 27001 או NIST צפוי למצוא חלק גדול מהדרישות מוכר.
5. האחריות עוברת גם להנהלה ולדירקטוריון
הצעת החוק משקפת מגמה עולמית שלפיה סיכוני סייבר הם חלק מניהול הסיכונים העסקי. הנהלות ודירקטוריונים צפויים להידרש לפקח על רמת המוכנות, להקצות משאבים ולוודא שהארגון מנהל את סיכוני הסייבר שלו באופן שיטתי ומתועד.
6. היערכות לאירוע חשובה לא פחות ממניעתו
החוק מדגיש את החשיבות של תוכניות תגובה לאירועי סייבר, תרגולים, המשכיות עסקית ותהליכי קבלת החלטות בזמן אמת. השאלה אינה רק כיצד למנוע מתקפה, אלא כיצד הארגון ימשיך לפעול אם תתרחש.
7. גם הספקים שלכם הופכים לחלק מהמשוואה
מתקפות רבות מתחילות דווקא דרך ספקים ושרשרת האספקה. בהתאם לכך, החוק צפוי לחזק את הדרישה למפות ספקים, להבין את רמת הסיכון שהם מייצרים ולשלב אותם במסגרת ניהול הסיכונים הארגוני.
8. החוק יחייב תיעוד, בקרה ודיווח
מעבר לפעולות ההגנה עצמן, ארגונים צפויים להידרש להציג תהליכי עבודה מסודרים, מנגנוני בקרה ותיעוד של קבלת החלטות. מטרת הדרישות היא להבטיח שהגנת הסייבר אינה תלויה באדם אחד, אלא מנוהלת כחלק ממדיניות ארגונית.
9. החוק עדיין לא סופי – אבל זה הזמן להיערך
הצעת החוק עברה בשלב זה קריאה ראשונה בלבד, וייתכן שיחולו בה שינויים לפני אישורה הסופי. עם זאת, מרבית העקרונות שעליהם היא מבוססת משקפים מגמות רגולטוריות עולמיות, ולכן כדאי להתחיל כבר עכשיו בבחינת הפערים ובהיערכות פנימית.
10. מי שייערך מוקדם – ייהנה גם מעבר לעמידה בדרישות החוק
היערכות מוקדמת אינה רק עניין של ציות לרגולציה. ארגונים שמנהלים את סיכוני הסייבר שלהם בצורה מסודרת נהנים בדרך כלל גם מחוסן תפעולי גבוה יותר, מתהליכי קבלת החלטות ברורים, מאמון גבוה יותר של לקוחות ושותפים עסקיים ומיכולת טובה יותר להתמודד עם אירועי סייבר כאשר הם מתרחשים.

אז איך מתקדמים מכאן ומתכוננים נכון לחוק הסייבר הלאומי?
חוק הגנת הסייבר הלאומי הוא לא שאלה של האם אלא, שאלה של מתי. לערכתי לאור המצב המדיני, האיומים והסיכונים, התשתיות הקיימות והתקינה הבין לאומית, זה יקרה מוקדם יותר ממה שאנחנו חושבים.
החוק אינו נועד להפוך ארגונים לעוד יותר בירוקרטיים, אלא לקבוע סטנדרט בסיסי לניהול סיכוני סייבר במשק הישראלי. גם אם נוסחו הסופי עוד עשוי להשתנות, כבר עכשיו ברור שהמגמה היא להעביר את האחריות מהמערכות הטכנולוגיות אל שולחן ההנהלה.
עבור ארגונים, המשמעות היא שההיערכות אינה מתחילה ביום שבו החוק יאושר, אלא הרבה קודם – בבחינת המוכנות, בחיזוק הממשל הארגוני ובהטמעת תרבות של ניהול סיכוני סייבר כחלק בלתי נפרד מניהול העסק. לאכוף, אלא גם ביכולת להראות שהאכיפה נעשית בצורה מידתית, שקופה ומוגנת.
רוצים לשפר את מוכנות הארגון לחוק הסייבר ולהגביר את הבטחון בארגון שלכם? דברו איתנו

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי ROY KISCH, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).


