מערך הסייבר הלאומי פרסם להערות הציבור את תזכיר חוק הגנת הסייבר הלאומית, שנועד לעגן לראשונה בחקיקה ראשית את הסטנדרטים להגנה על גופים החיוניים לשגרת החיים, לכלכלה ולביטחון המדינה. המהלך מקודם על רקע העלייה החדה במתקפות סייבר נגד ישראל, המדורגת כיום במקום השלישי בעולם בהיקף מתקפות הסייבר המכוונות אליה, ונוכח לקחי מלחמת "חרבות ברזל" בהן ניסו גורמים עוינים לשבש את הרציפות התפקודית של המשק הישראלי.
תזכיר החוק קובע כי "ארגונים חיוניים" – הכוללים משרדי ממשלה, גופי תשתיות (כגון חשמל, מים, בריאות ותחבורה), רשויות מקומיות גדולות וכן ספקי שירותים דיגיטליים ושירותי אחסון (ענן) – יחויבו לעמוד ברמת הגנת סייבר בסיסית ולנהל סיכונים באופן שוטף. בנוסף, החוק מטיל חובת דיווח מיידית למערך הסייבר ולרגולטור הרלוונטי במקרה של "תקיפת סייבר משמעותית" לעניין חובת הדיווח, העלולה לפגוע בזמינות השירות, ברציפות התפקודית או להוביל לדלף של נכס מידע משמעותי.
כדי להבטיח ציות לחוק, התזכיר מסדיר סמכויות פיקוח ואכיפה נרחבות, לרבות סמכויות כניסה לביקורת ודרישת מסמכים. הממונה ברשות המוסמכת יהיה רשאי להטיל עיצומים כספיים על ארגונים שיפרו את ההוראות: גובה הקנסות על הפרת חובות ניהול סיכונים עשוי להגיע עד כ-640,000 ש"ח, ובמקרים של אי-דיווח על תקיפה או אי-ציות להוראות חירום, הקנס יעמוד על כ-300,000 ש"ח. כמו כן, החוק מאפשר מתן הוראות מחייבות לארגונים בעת זיהוי "תקיפת סייבר חמורה" לעניין סמכויות התערבות, כדי לבלום אותה.
ראש מערך הסייבר הלאומי, יוסי כראדי, הדגיש כי החוק הוא צעד הכרחי מול האיום המתפתח, שכן מתקפת סייבר עלולה לנצל את התלות הדיגיטלית המוחלטת לפגיעה בחיי אדם ובמשק. לפי נתוני המערך, הנזק הכלכלי השנתי למשק הישראלי ממתקפות סייבר מוערך בכ-12 מיליארד שקלים, אך למרות זאת, בהיעדר מסגרת חוקית אחידה כיום, ארגונים רבים עדיין אינם נוקטים באמצעי הגנה מספקים באופן וולונטרי.
החקיקה הישראלית המוצעת מיישרת קו עם המגמות העולמיות באסדרת הסייבר, ובפרט עם דירקטיבת ה-NIS2 של האיחוד האירופי שנכנסה לתוקף ב-2023. בדומה ל-NIS2, המרחיבה את חובות הגנת הסייבר ל-18 סקטורים קריטיים ומחייבת ניהול סיכונים ודיווח על אירועים חמורים, גם תזכיר החוק של מערך הסייבר מרחיב את היריעה מעבר לתשתיות קריטיות קלאסיות ומחיל חובות על סקטורים נוספים וספקי שירותים דיגיטליים. תזכיר החוק מאמץ עקרונות המקובלים גם בבריטניה ובגרמניה, כגון הטלת קנסות מנהליים ואחריות לניהול סיכונים, תוך התאמה למאפייני המשק הישראלי.
תזכיר החוק נועד לגשר על הפער הקיים כיום, שבו אין בישראל מסגרת חוקית לאומית אחידה להגנת סייבר במגזר האזרחי, בניגוד למקובל במדינות מערביות רבות. עם אישורו הסופי, החוק צפוי לחזק את החוסן הלאומי, להציב לראשונה סטנדרט מחייב להגנת סייבר במגזר האזרחי בישראל ולהבטיח כי הגופים שבלעדיהם המדינה אינה יכולה לתפקד יהיו ערוכים טוב יותר לאיומי העתיד.
