תזכיר חוק הגנת הסייבר הלאומית (2026): חובות חדשות, סמכויות אכיפה והשלכות רוחב

במהלך חודש ינואר פורסם תזכיר חוק הגנת הסייבר הלאומית, התשפ"ו-2026 שמהווה מהלך רגולטורי משמעותי שעשוי להשפיע באופן רוחבי על ארגונים במשק, ובפרט על גופים המספקים שירותים דיגיטליים ותשתיות טכנולוגיות.

התזכיר כולל חובות הגנה ודיווח, מנגנוני אכיפה משמעותיים, ובמקרים מסוימים אף הטלת אחריות פלילית. מטרת התזכיר היא להסדיר את פעילות מערך הסייבר הלאומי ולחזק את הגנת הסייבר בישראל, באמצעות קביעת סטנדרטים מחייבים. 

על מי יחול תזכיר חוק הגנת הסייבר?

תזכיר החוק יחול בעיקר על "ארגונים חיוניים" – גופים  ממשלתיים, וכן ארגונים במגזרי משק שונים שייכללו בהגדרה בהתאם לתבחינים המגזריים שבתוספת השלישית ולמנגנוני סיווג ייעודיים (לרבות בתחומי התקשורת, אנרגיה, בריאות, תחבורה ועוד). בנוסף, לתזכיר עשויה להיות השפעה עקיפה גם על גופים ציבוריים נוספים, וכן על גורמים הפועלים מול ארגונים חיוניים או מספקים להם שירותים.

בנוסף, התזכיר כולל הסדרים הנוגעים גם ל"ספקי שירותים דיגיטליים או שירותי אחסון" – במיוחד במקרים שבהם שירותים אלה עשויים להשפיע על תפקוד שירותים חיוניים במשק. תחת התבחינים שבתזכיר נכללים, בין היתר, שירותי מחשוב ענן, מרכזי נתונים (Data Centers), שירותי אירוח (Hosting), שירותי אימות וחתימה, שירותי SMS, ניהול זהויות וגישה (IAM), שירותי אבטחת סייבר, Data Brokers, שירותי SaaS ו-PaaS, וכן פלטפורמות מקוונות כגון מנועי חיפוש ורשתות חברתיות.

ספקי שירותים דיגיטליים או שירותי אחסון עשויים להיכלל בהסדרה אם מתקיים אצלם לפחות אחד מתנאי הסף (מחזור כספי שנתי של 40 מיליון ₪ ומעלה, או העסקת 50 עובדים ומעלה), או אם הם מספקים לממשלת ישראל או לגוף מונחה שירותים מהסוגים המנויים בתזכיר.

מהי ההשפעה על חברות הכפופות לחוק?

על פי התזכיר, גופים הכפופים לחוק יידרשו לעמוד בדרישות הגנה בהתאם לתחום ולאופי פעילותם, לרבות עמידה בתקנים מחמירים של אבטחת מידע והגנת סייבר, חובות דיווח על תקיפות סייבר, תיעוד שוטף, ופיקוח בידי הגורמים המוסמכים.

כאמור, התזכיר כולל גם מנגנוני אכיפה משמעותיים, לרבות עיצומים כספיים של עד 640,000 ש"ח להפרה וכן חשיפה לאחריות פלילית במקרים מסוימים. חשוב להדגיש כי מדובר בהסדרה מדורגת – ככל שהגוף חיוני יותר או חשוף יותר לסיכוני סייבר, כך צפויות לחול עליו דרישות מחמירות יותר.

החוק המוצע עשוי להשפיע באופן רוחבי לא רק על ארגונים המוגדרים "חיוניים", אלא גם על שרשרת האספקה שלהם. בפועל, גופים הכפופים לחוק יידרשו להחיל סטנדרטים מחמירים גם על ספקים וגורמים שלישיים, לרבות באמצעות הוראות חוזיות המחייבות שיתוף פעולה בביקורות ובדיווחים רלוונטיים.

מה הלאה?

אמנם מדובר בתזכיר בלבד, אך הוא משקף כיוון ברור של הרחבת סמכויות מערך הסייבר הלאומי ושל מעבר להסדרה מערכתית ולאומית של חובות ההגנה, הדיווח והתגובה לאירועי סייבר. ככל שיתקדם במתכונת דומה, התזכיר עשוי להביא לתחולה רחבה, ובפרט להשפיע באופן משמעותי על שוק השירותים הדיגיטליים בישראל. חובות אלה מזכירות תהליכי הסדרה באירופה (דוגמת NIS2) ובעולם, אך נראה כי תחולתן רחבה במיוחד.

מומלץ לחברות שעשויות להיות מושפעות מתחולתו של החוק לבצע כבר כעת בדיקה מקדימה ביחס לעמידתן בדרישות המוצגות בתזכיר, ולהעריך את היקף השינויים שיידרשו. במסגרת זאת מומלץ בשלב הראשוני:

• לערוך סקר פערים ביחס לעמידה בתקני אבטחת מידע והגנת סייבר הנדרשים;
• לבחון ולעדכן נהלי אבטחת מידע פנים-ארגוניים (לרבות ניהול אירועים ודיווח, ניהול הרשאות ועוד);

**

מחלקת פרטיות, בינה מלאכותית וסייבר במשרדנו תשמח לסייע וללוות בהבנת הסיכונים הנובעים מדרישות אבטחת המידע המוצעות, בבחינת תחולת החוק על פעילותכם, ובהיערכות הנדרשת לכך.

ד"ר אבישי קליין הוא שותף וראש מחלקת פרטיות, סייבר ובינה מלאכותית במשרד.

עו"ד מאשה יודשקין היא עורכת דין במחלקת פרטיות, סייבר ובינה מלאכותית במשרד.