ביום ה-22 בינואר 2026, פורסם תזכיר חוק הגנת הסייבר הלאומית, התשפ"ו-2026, מטעם מערך הסייבר הלאומי במשרד ראש הממשלה. מדובר בחקיקה מקיפה וראשונה מסוגה בישראל, המבקשת להסדיר באופן רוחבי את תחום הגנת הסייבר הלאומי.
תזכיר החוק מעגן את מעמדו של מערך הסייבר, וכן מקים בכל משרד ממשלתי המנוי בחוק יחידה מגזרית להגנת סייבר.
תזכיר החוק מבקש לקבוע גם מעמד של "ארגון חיוני", שעליו יחולו חובות שונות בתחומי הגנת הסייבר. לפי התזכיר, כארגונים חיוניים יוגדרו גופים ממשלתיים, או ארגונים העומד באחד מהתנאים שלהלן. הגדרה זו תחול על גופים הפועלים בתחומים מגוונים, וביניהם:
- תקשורת – ספקים מורשים עם מעל 200,000 מנויים או מקבלי שירות.
- חשמל – בעלי או מנהלי מתקנים לייצור חשמל בהיקף מצטבר של מעל 100 MW.
- גז טבעי – בעל רישיון חלוקה או גז טבעי דחוס.
- דלק וגפ"מ – ארגונים המושכים או מייבאים דלק וגפ"מ מעל הכמות המנויה בתוספת.
- בריאות – בתי חולים וקופות חולים.
- איכות סביבה – מתקני אחסון או טיפול בפסולת מסוכנת ומטמנות.
- מים וביוב – תאגידי מים, מט"שים ומתקני התפלה מעל גודל המנוי בתוספת.
- תחבורה – מפעילי תחבורה ציבורית, חברות תעופה, מפעילי שירותי ספנות, נמלים וחברות תשתית
- רשויות מקומיות.
- מזון – מחסני חירום, יצרנים משווקים וקמעונאים מעל נתח שוק מסוים.
- שירותים דיגיטליים ושירותי אחסון מסוגים שונים המנויים בתוספת.
- חקלאות – גופים מעל גודל מסוים העוסקים בגידול, ייבוא ואחסון חיטה או ביצים.
התזכיר מטיל שורת חובות החלות על "ארגון חיוני", הכוללות בעיקרן:
- עמידה בדרישות רמת הגנת סייבר בסיסית, לרבות ניהול סיכונים, הגנה על נכסי סייבר, היערכות לאירועי סייבר, רציפות תפקודית, הגנה בשרשרת אספקה, הצפנה, בקרת גישה, הדרכות ועוד, וכן עמידה בהוראות הרלוונטיות באחד התקנים המנויים בתזכיר.
- עמידה בהוראות מערך הסייבר לעניין הגנת סייבר, אשר יכולות אף להינתן לארגון ספציפי בזמן אמת על רקע התראות על תקיפת סייבר.
- חובת דיווח על תקיפת סייבר משמעותית, לרבות פגיעה בזמינות/רציפות השירות, גישה בלתי מורשית למידע, או תקיפה בעלת פוטנציאל התפשטות.
- סנקציות מינהליות ופליליות במקרה של הפרת חובות אלה, כולל על בעלי תפקיד בארגון.
מעבר לכך, התזכיר מאפשר גם הגדרתו של ארגון כ-"ארגון חיוני למערכת הביטחון", והטלת חובות נוספות במקרה זה.
עם זאת, בנוגע למגזר השירותים הדיגיטליים ושירותי האחסון, מאפשר התזכיר לארגון להגיש אישור על הימצאותו ברשימת FedRAMP Marketplace בסטטוס Authorized או תצהיר בדבר יישום הנחיות הגנת סייבר בהתאם לתקןNIST 800–53 לעניין פעילות הליבה של הארגון, ולקבל פטור מהחובות לעיל (למעט חובת הדיווח על תקיפת סייבר) למשך שנתיים.
המועד האחרון להגשת הערות על התזכיר נקבע ליום 12/2/2026 בשעה 23:59.
מחלקת הרגולציה והממשל במשרדנו תמשיך לעקוב אחר התפתחויות ועדכונים נוספים בנושא ועומדת לרשותכם לכל שאלה או התייעצות.
הכתוב לעיל הוא תמצית למטרות אינפורמטיביות בלבד ואינו מהווה ייעוץ משפטי שניתן להסתמך עליו ללא ייעוץ משלים נוסף.ֿ
