ביום 22.1.2026, פורסם להערות הציבור תזכיר חוק הגנת הסייבר הלאומית, התשפ"ו-2026 ("התזכיר" או "הצעת החוק"). מטרת התזכיר היא להסדיר באופן מקיף ורוחבי את הגנת הסייבר בישראל, ולהטיל חובות חדשות על מגוון רחב של גופים במשק.

הצעת החוק, אם תתקבל, תחול על גופי ממשלה, על ארגונים המוגדרים כ"ארגונים חיוניים" במגזרים שונים, ובאופן חלקי גם על "ספקי שירותים דיגיטליים ושירותי אחסון" בכל גודל, גם אם אינם חיוניים לפי החוק. החובות המרכזיות המוגדרות בהצעת החוק כוללות עמידה ברף הגנת סייבר מחייבת, דיווח מיידי על תקיפות סייבר משמעותיות, וכפיפות לסמכויות פיקוח והתערבות של הרגולטור. הפרת הוראות החוק עלולה לגרור סנקציות מנהליות ופליליות משמעותיות, לרבות עיצומים בסכומים גבוהים והטלת אחריות אישית על נושאי משרה.

על מי חל

הצעת החוק חלה על מספר סוגי ארגונים מלבד גופי הממשלה השונים.

ראשית, היא חלה על "ארגונים חיוניים", אשר מוגדרים ככאלו באופן אוטומטי אם הם עומדים בקריטריונים ייעודיים שנקבעו למגזרי משק שונים המפורטים בתוספות לחוק- כגון תקשורת, אנרגיה, בריאות (למשל קופות חולים ובתי חולים), מים וביוב, תחבורה, שירותים דיגיטליים ועוד. בהתאמה, קובעת הצעת החוק "רשות מוסמכת" ייעודית עבור כל הארגונים החיוניים ממגזר מסוים.

שנית, הצעת החוק חלה באופן חלקי גם על "ספקי שירותים דיגיטליים ושירותי אחסון" בכל גודל כמעט. "שירותים דיגיטליים" מוגדרים באופן רחב מאוד, וכוללים גם פיתוח תוכנה והתקנת תוכנה ומחשבים, כל עוד יש חיבור או העברת חומר מחשב ממחשבי הספק למחשבי מקבל השירות, גם באופן זמני. ספקי שירותים דיגיטליים ושירותי אחסון יחשבו "חיוניים" (והחוק יחול עליהם במלואו) אם המחזור שלהם עולה על 40 מיליון ש"ח, או אם הם מעסיקים 50 עובדים או יותר, או מספקים שירותים לממשלה, ובנוסף הם עוסקים, בין השאר, במחשוב ענן, שירותי Data Center, פיתוח תוכנה, ניהול מערכות IT, שירותי הגנת סייבר, רשתות חברתיות ומנועי חיפוש.

חובות שמירה על הגנת סייבר ראויה

על כלל הארגונים שהצעת החוק תחול עליהם, לרבות על ספקי שירותים דיגיטליים שאינם חיוניים, חלה חובה כללית להבטיח "רמת הגנת סייבר ראויה" בשגרה בהתאם לאופי פעילותם ותוך ניהול סיכונים הולם. על ארגונים חיוניים מוטלת חובה מפורטת יותר לשמור על "רמת הגנה בסיסית" באמצעות הטמעת שורת דרישות טכניות הכוללות, בין היתר, אימוץ מערך בקרות מקיף עם ניהול סיכונים ומיפוי נכסי סייבר, היערכות ותגובה לאירועי סייבר (תוכנית RI, צוותי תגובה, תרגול, ניטול ולוגים, מנגנון דיווח פנימי והפקת לקחים), הבטחת רציפות תפקודית, הקפדה על הגנה לאורך שרשרת האספקה, הצפנה, בקרת גישה ועוד. על הארגון לעמוד בדרישות אלו באמצעות יישום אחד ממספר תקנים בינלאומיים מוכרים.

חובת דיווח מיידי על תקיפת סייבר משמעותית

סעיף 11 לתזכיר קובע כי על ארגונים חיוניים חלה חובה לדווח "באופן מיידי" לרשות המוסמכת, ולמערך הסייבר הלאומי על "תקיפת סייבר משמעותית". "תקיפת סייבר משמעותית" מוגדרת בתזכיר כתקיפה שעלולה (1) לפגוע באופן משמעותי בזמינות, רציפות או מהימנות השירות של הארגון (2) להביא לגישה לא מורשית ל"נכס מידע משמעותי" (3) להתפשט מעבר לארגון הנתקף.

הדיווח הראשוני נדרש לכלול פרטים מהותיים על האירוע, ולאחר הטיפול בו, יש להגיש דיווח מסכם ומפורט. דרישת הדיווח המיידי בתזכיר נוקשה יותר מחוקים מקבילים בעולם (ובעיקר דירקטיבה NIS2 האירופית), ותחייב היערכות תפעולית ומשפטית מתאימה.

סמכויות נרחבות לרגולטור

הצעת החוק מעניקה לרגולטורים (סקטוריאליים, מערך הסייבר, או משרד הבטחון, בהתאם למקרה) "ארגז כלים" רחב להתמודדות עם איומי סייבר.

כך, במקרה של "תקיפת סייבר חמורה" נגד ארגון או באמצעותו, עובד מוסמך של הרשות המוסמכת רשאי לדרוש מהארגון כל מידע הדרוש לשם התמודדות עם התקיפה. בנוסף, אם לדעת הרשות המוסמכת הרלוונטית ארגון מותקף או ארגון שיש חשש משמעותי שיותקף והוא לא מתמודד באופן הולם עם תקיפה חמורה, הצעת החוק מסמיכה אותה לתת לארגון הוראות מחייבות, החל מדרישה לביצוע פעולות הגנה ועד להתקנת תוכנות ספציפיות וניתוק מערכות מהרשת. בנוסף, לפי התזכיר במקרה של תקיפת סייבר חמורה שדורשת התערבות רגולטורית, הארגון יכול להידרש ליידע כל ארגון אחר שעלול להפגע מהתקיפה ישירות ובאופן ממשי.

במקביל, הרשות מוסמכת לבצע פעולות פיקוח שוטפות על הארגונים שהצעת החוק חלה עליהם. בין היתר, הרשות מוסמכת לדרוש מהארגונים מסמכים וידיעות כדי להבטיח את העמידה שלהם בהוראות החוק או להקל על ביצועו, ואף להכנס פיזית למתקנים של ארגון חיוני כדי לפקח על עמידתו בחובותיו.

סנקציות- קנסות ועבירות פליליות

הצעת החוק קובעת (לראשונה) מנגנוני אכיפה נוקשים ומגוונים:

· עיצומים כספיים: הפרת הוראות החוק, כמו אי עמידה בדרישות האבטחה או אי דיווח, עלולה לגרור עיצומים כספיים של עד 640,000 ש"ח להפרה. חשוב לציין, כי הטלת העיצום ושם הארגון המפר יפורסמו ברבים.

· אחריות פלילית: הפרות חמורות של הוראות החוק, בעיקר אי-ציות להוראות הרגולטור בזמן אירוע, עלולות להוביל להליכים פליליים ועונשי מאסר של עד שנתיים.

· אחריות אישית על נושאי משרה: בנוסף, לפי התזכיר נושאי משרה (מנכ"לים, דירקטורים ומנהלים בכירים) מחויבים לפקח באופן אקטיבי על מניעת עבירות סייבר בתאגיד. במקרה של עבירה, קמה חזקה לפיה נושא המשרה הפר את חובתו, והוא יידרש להוכיח שעשה כל שביכולתו כדי למנוע אותה. הפרת חובת הפיקוח כשלעצמה מהווה עבירה שדינה קנס.

התזכיר פתוח להערות הציבור עד ליום 21.2.26, ואנו מזמינים אתכם לשקול להעיר בנושא.

אנו זמינים לרשותכם לכל שאלה,

 אייל שגיא, דניה אמיר וצוות מחלקת משפט וטכנולוגיה