הצעת חוק הגנת הסייבר הלאומית 2026: מה המשמעות לארגונים בישראל?

לאחר שנים שבהן הגנת הסייבר בישראל התבססה בעיקר על החלטות ממשלה, הנחיות מקצועיות ורגולציה מגזרית, פרסמה הממשלה את הצעת חוק הגנת הסייבר הלאומית, התשפ"ו-2026. מדובר במהלך משמעותי שעשוי לשנות את האופן שבו מנוהלת ומוסדרת הגנת הסייבר במגזרים החיוניים בישראל.

אם תאושר, תהיה זו הפעם הראשונה שבה תעוגן בחקיקה מסגרת לאומית מקיפה להגנת הסייבר, הכוללת הגדרת סמכויות, חובות, מנגנוני פיקוח ודרישות מחייבות לארגונים המפעילים תשתיות ושירותים חיוניים למשק.

הצעת החוק נשענת על הלקחים שהופקו בשנים האחרונות, ובפרט מאז מתקפת ה-7 באוקטובר, מלחמת חרבות ברזל והמבצעים הביטחוניים שבאו בעקבותיה, אשר המחישו את הקשר ההדוק בין איומי סייבר לבין חוסן לאומי ותפקוד המשק האזרחי.

יוזמה זו באה בהלימה מושלמת לדו"ח מבקר המדינה 2026 המתייחס למצב אבטחת המידע וחוסן הסייבר ברשויות המקומיות ובארגונים ממשלתיים.

מדוע נדרש חוק אבטחת מידע לאומי ייעודי?

ישראל נחשבת לאחת המדינות המותקפות ביותר בעולם במרחב הסייבר. גופים ציבוריים, תשתיות קריטיות, רשויות מקומיות וארגונים פרטיים מתמודדים באופן שוטף עם ניסיונות תקיפה מצד גורמי פשיעה, קבוצות תקיפה ממומנות מדינה וגורמים עוינים נוספים.

למרות זאת, עד היום לא הייתה בישראל חקיקה ייעודית ומקיפה שהסדירה את תחום הגנת הסייבר ברמה הלאומית.

בפועל, ההגנה על המשק נשענה על שילוב של החלטות ממשלה, רגולציות מגזריות והנחיות מקצועיות של מערך הסייבר הלאומי. מצב זה יצר פער בין רמת האיום הגבוהה לבין יכולת האכיפה והפיקוח בפועל – פער שעליו הצביעו גם דוחות שונים של מבקר המדינה לאורך השנים וגם הדוח האחרון ב2026.

במדינות רבות בעולם המערבי, ובהן בריטניה, קנדה, אוסטרליה ומדינות האיחוד האירופי, קיימות כבר מסגרות חקיקה ייעודיות להגנת סייבר ותשתיות קריטיות. הצעת החוק הנוכחית נועדה לצמצם את הפער ולהתאים את ישראל לסטנדרטים המקובלים בעולם.

מה כוללת הצעת החוק?

אחד המרכיבים המרכזיים בחוק הוא עיגון מעמדו של מערך הסייבר הלאומי כגוף סטטוטורי הפועל במשרד ראש הממשלה.

לפי ההצעה, המערך ימשיך לשמש כגורם הלאומי המרכזי להגנת הסייבר ויופקד על מגוון תחומים, בהם:

• גיבוש אסטרטגיית הסייבר הלאומית.
• הפעלת ה-CERT הלאומי לטיפול באירועי סייבר.
• הפעלת NSOC – המרכז הלאומי לניהול ושליטה על סיכוני סייבר.
• פרסום התרעות והנחיות לציבור ולארגונים.
• קידום מחקר ופיתוח בתחום הסייבר.
• שיתופי פעולה בינלאומיים.

בנוסף, החוק קובע הקמת יחידות סייבר מגזריות בתוך הרשויות הרגולטוריות השונות, אשר יפעלו לקידום רמת ההגנה במגזר שעליו הן מופקדות.

אילו מגזרים ייכללו בחוק?

הצעת החוק מתמקדת בשלב הראשון במגזרים שהוגדרו כחיוניים לתפקוד המשק והמדינה.

בין המגזרים שנכללים:

• תקשורת
• אנרגיה
• מים וביוב
• בריאות
• כימיקלים וחומרים מסוכנים
• תחבורה
• רשויות מקומיות
• מזון
• שירותים דיגיטליים ושירותי אחסון
• חקלאות

ההכרזה על ארגון כ"ארגון חיוני" תיעשה בהתאם לקריטריונים המוגדרים לכל מגזר, כגון היקף פעילות, מספר לקוחות, השפעה על הציבור ורמת הסיכון למשק.

מעניין לציין כי המגזר הפיננסי אינו נכלל במסגרת החוק.
הסיבה לכך היא שלדעת המחוקק קיימת כבר כיום מעטפת רגולטורית מפותחת הכוללת דרישות סייבר, ניהול סיכונים ורציפות עסקית מטעם בנק ישראל, רשות שוק ההון וגורמי הפיקוח הרלוונטיים.

מה יידרש מארגונים חיוניים?

החוק מטיל על ארגונים חיוניים חובות אקטיביות בתחום הגנת הסייבר.

בין היתר, הארגונים יידרשו:

• לנהל סיכוני סייבר באופן שוטף.
• ליישם אמצעי הגנה בהתאם לרמת הסיכון.
• לדווח על אירועי סייבר משמעותיים.
• לשתף פעולה עם הרשויות המוסמכות בעת אירוע.
• לפעול בהתאם להנחיות מקצועיות שיוגדרו עבור המגזר הרלוונטי.

במקרים של אירוע סייבר חמור, יוכלו הגורמים המוסמכים להנחות את הארגון לגבי פעולות נדרשות לצורך צמצום הפגיעה והחזרת הפעילות לשגרה.

במה שונה המודל הישראלי מהדירקטיבה האירופית NIS2?

השוואה מתבקשת היא לדירקטיבת תקן NIS2 האירופית, שנכנסה לתוקף בשנים האחרונות ומחייבת אלפי ארגונים ברחבי האיחוד האירופי.

עם זאת, המודל הישראלי מצומצם וממוקד יותר.

בעוד NIS2 חלה על מגוון רחב של מגזרים וארגונים, ההצעה הישראלית מתמקדת בשלב זה בליבת התשתיות והשירותים החיוניים למשק.

הגישה הישראלית מבוססת על עקרון של ניהול סיכונים והתאמה לרמת האיום בכל מגזר, ולא על רגולציה אחידה החלה באופן זהה על כלל המשק.

מה המשמעות עבור ארגונים בישראל?

גם אם הצעת החוק נמצאת עדיין בשלבי חקיקה, הכיוון ברור.

ארגונים הפועלים במגזרים החיוניים צפויים להידרש בשנים הקרובות להוכיח רמת בשלות גבוהה יותר בתחומי:

• ממשל תאגידי (Cyber Governance)
• ניהול סיכוני סייבר
• מיפוי נכסים ומידע
• ניהול ספקים ושרשרת אספקה
• מוכנות לאירועי סייבר
• מודעות עובדים והדרכות
• תיעוד, בקרה ודיווח
• תוכנית המשכיות עסקית

עבור הנהלות, מנמ"רים, מנהלי סיכונים ו-CISO מדובר באיתות ברור להתחיל בהיערכות מוקדמת ולא להמתין לכניסת החוק לתוקף.

מבט קדימה

הצעת חוק הגנת הסייבר הלאומית מסמנת שינוי תפיסתי משמעותי במדיניות הסייבר של ישראל. לראשונה, הגנת הסייבר של המשק החיוני אינה נשענת רק על הנחיות והמלצות, אלא צפויה לקבל עיגון חוקי מחייב.

אם החוק יאושר, ארגונים רבים במגזרי האנרגיה, הבריאות, המים, התקשורת, הרשויות המקומיות ושירותים חיוניים נוספים יידרשו לבחון מחדש את רמת המוכנות שלהם ולהתאים את תהליכי ניהול הסיכונים וההגנה שלהם למציאות רגולטורית חדשה.

המידע המוצג במאמר זה נועד למטרות מידע והעשרה בלבד ואינו מהווה ייעוץ מקצועי, רגולטורי, משפטי או טכנולוגי. כל ארגון נדרש לבחון את צרכיו, הסיכונים והדרישות החלות עליו באמצעות אנשי מקצוע מתאימים.
המאמר נכתב בשיתוף מומחי אבטחת המידע והסייבר של Infoguard מקבוצת IDOR, ונערך על ידי רועי קיש, חובב אבטחת מידע, סייבר ומנהל השיווק של קבוצת חברות עידור (Messagent, Infoguard, Idornext).