האם ומתי תחול עליכם רגולציה של הגנת הסייבר?

לכאורה השאלה האם צריכה להיות רגולציה של הגנת הסייבר (שהיא שאלה נכבדה בפני עצמה) והאם תהיה רגולציה כזו, נענו בחיוב בהחלטת ממשלה מפברואר 2015, והשאלות הן מה תהיה הרגולציה, על מי היא תחול ומתי.

בשנת 2011 קבלה ממשלת ישראל החלטה, שכותרתה "קידום היכולת הלאומית במרחב  הקיברנטי" (החלטה  3611 מיום 07/08/11). הוחלט שם על הקמת מטה  הסייבר הלאומי  במשרד ראש הממשלה, שמטרתו כפי שהוגדר בהחלטה, "לשמש גוף  מטה  לראש הממשלה, לממשלה ולוועדותיה,  אשר ממליץ  על מדיניות לאומית ומקדם את יישומה בתחום הקיברנטי". עוד הוחלט שם להסדיר  את  האחריות  לטיפול  בתחום  הסייבר, לקדם  את יכולת ההגנה על המרחב הקיברנטי  בישראל ולקדם  מחקר ופיתוח בתחום.

בהמשך להחלטה הנ"ל קבלה ממשלת ישראל שתי החלטות נוספות. החלטה 2443 מיום 15/02/15, שכותרתה "קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר" ו-החלטה 2444 מאותו יום, שכותרתה "קידום ההיערכות הלאומית להגנת הסייבר".

בהחלטה העוסקת בקידום ההיערכות הלאומית הוחלט על הקמת רשות הסייבר הלאומי (שמקום מושבה בקריית הסייבר הלאומית בבאר שבע, הידועה גם בשמה ה-cyberpark. אגב יאמר כי בשנת 2015 התקבלה גם החלטת ממשלה 528 המעניקה הטבות למעסיקים בתחום הגנת הסייבר בקריית הסייבר הלאומית בבאר שבע – פרטים נוספים כאן). ע"פ ההחלטה העוסקת בקידום ההיערכות הלאומית, הוקם גם מרכז לסיוע בהתמודדות עם איומי סייבר (CERT-IL) שבאתר האינטרנט שלו ניתן למצוא מידע בעניין המיועד לציבור הרחב, למנהלי חברות ולאנשי מקצוע.

בהחלטה הנוגעת לאסדרה (רגולציה), הוחלט בין היתר, שהרגולציה של הארגונים במשק בנושא הגנת הסייבר תעשה באמצעות הרגולטורים הקיימים "על מנת להעלות את רמת החוסן של המגזר האזרחי לאיומי סייבר, ובכלל זה היערכות וכשירות". על המטה הוטל להקים יחידה שייעודה להסדיר את שוק שירותי הגנת הסייבר, לרבות אנשי מקצוע, שירותים ומוצרים. בנספח להחלטה פורטו "עיקרי תפיסת האסדרה הלאומית בהגנת הסייבר" שגובשו ע"י המטה. שם נקבע בין היתר, כי יש לאמץ רעיונות ותוכניות מוצלחות שבוצעו בעולם תוך התאמתן לישראל, שהרגולציה תסתמך בעיקר על תקינה בינלאומית, שהיא "תאפשר גמישות מסוימת למגזרים וארגונים כדי לממש את ייעודם" ו"תגדיר רמות שונות של הגנה והסמכה ותיצור מנגנונים להתאמה והלימה ביניהן".

 במסגרת דוח מבקר המדינה מס' 67א שפורסם ביום 01/11/16, הקדיש המבקר פרק קצר בדוח (פרק 101), לעיסוק בהיבטים הקשורים בהיערכות המדינה להגנת המרחב הקיברנטי (מרחב הסייבר). המרחב הזה כמובן כולל הן את השוק הפרטי והן את מערכות המדינה ותשתיותיה. המבקר בדק בין השנים 2015-2013 נושאים שונים, ובהם גיבוש תפיסת הגנה כוללת על מרחב הסייבר, הסדרת האחריות לטיפול בתחום ומימושה, האסדרה (רגולציה) של שוק הסייבר, הגדרת הגופים המערכות שיש להגן עליהם והגדרת רמת ההגנה הנדרשת, מצב ההגנה על מערכות מחשוב שאינן תשתיות קריטיות וכאלה שמהוות תשתיות קריטיות של המדינה.

בתחום הרגולציה, קובע דוח מבקר המדינה כי קיים פיגור בפעולות שנקבעו לצורך כך. "סקר תקני אבטחת מידע וסייבר בחו"ל בוצע באיחור משמעותי" ו-"גם בחינה וקידום של מיסוד מנגנונים לאישור והסמכה של מוצרי הגנת הסייבר בישראל בהתאם לתקינה בין-לאומית למוצרי אבטחת מידע ומחשוב נמצאים בפיגור לעומת לוח הזמנים המקורי". עוד מציין הדוח כי "המטה לא עמד במשימה של הגדרת מנגנון למדרוג שירותי הגנת סייבר" (הכוללים בין היתר, "ביצוע של סקרי סיכונים, מבדקי חדירה", סיוע בניהול אבטחת המידע בארגון והכנה לקראת הסמכה לתקני אבטחת מידע").  מסקנת המבקר היא כי חל עיכוב ברגולציה של מקצועות הסייבר והעוסקים בתחום זה.

שאלת הרגולציה של הגנת הסייבר בשוק הפרטי היא שאלה מורכבת ואתגר לא פשוט. רגולציה כזו עשויה גם לפגוע במרכיבים מרכזיים בתעשיית ההייטק בכלל ובהגנת סייבר בפרט – היצירתיות והחדשנות, שכל כך מאפיינים את ההייטק הישראלי.  בכתבה מחודש 06/2016 באתר nrg  צוטט ראש הרשות כמי שאמר שלשיטתו הרשות אחראית גם על "חברות ציבוריות ופרטיות, עסקים, ולטעמי זה כולל גם את האדם בבית, גם אם לא באותה רמה". מה תהיה הרגולציה בתחום הגנת הסייבר והאם ומתי היא תחול עליכם?  נראה שיש להמתין עד שהרגולציה עצמה תוסדר על מנת להשיב על שאלות אלה.

###

הערה חשובה – מאמר זה נועד למטרות אינפורמטיביות בלבד ולא לצורך מתן ייעוץ משפטי או אחר. שימוש וגישה למאמר זה אינו יוצר יחסי עורך דין-לקוח בין המחבר לבין המשתמש או הגולש. הדעות שהובעו בו או באמצעות מאמר זה הן דעותיו הפרטיות של המחבר. לקבלת ייעוץ במקרים ספציפיים ניתן לפנות ישירות למחבר במייל או בדף יצירת קשר. הגלישה והשימוש באתר זה ובתכניו כפופים לתנאי השימוש של אתר דין מקומי. ניתן לפנות באמצעות דף יצירת קשר או במייל לשם קבלת יעוץ ספציפי.

אודות AAvidan

A. Avidan Law Office (Asaf Avidan, Engineer and Advocate)
גלריה | פוסט זה פורסם בקטגוריה אינטרנט, טכנולוגיה, סייבר, רגולציה, עם התגים , , , , , . אפשר להגיע ישירות לפוסט זה עם קישור ישיר.