בימים האחרונים (ינואר 2026), הפיץ משרד המשפטים את תזכיר חוק הגנת הסייבר הלאומית, התשפ״ו-2026. זוהי חקיקה רוחבית ראשונה, שמטרתה לעגן מסגרת סטטוטורית כוללת להגנת מרחב הסייבר הלאומי. החוק המוצע מבקש להתמודד עם סיכוני סייבר הולכים ומחריפים, תוך הפקת לקחים מאירועי השנים האחרונות ובפרט מתקופות חירום ביטחוניות, ולהבטיח את רציפות התפקוד של שירותים חיוניים למשק ולציבור.
החוק מציב תפיסה רגולטורית דיפרנציאלית המבוססת על ניהול סיכונים ואיזון בין צורכי ביטחון, יציבות משקית והגנה על זכויות יסוד, ובראשן הזכות לפרטיות. במרכזו עומדת הבחנה בין ארגונים חיוניים, גופים ממשלתיים, ספקי שירותים דיגיטליים ושירותי אחסון, לבין יתר הארגונים, תוך הטלת חובות מוגברות על גופים אשר פגיעה בהם עלולה לגרום נזק חמור לביטחון המדינה, לכלכלה או לשלום הציבור.
לראשונה, החוק מעגן סמכויות פיקוח, הנחיה ואכיפה רחבות בתחום הסייבר. מערך הסייבר הלאומי מוגדר כגוף מבצעי עצמאי במשרד ראש הממשלה, ומוקנות לו סמכויות לקבוע מדיניות, להנחות מגזרים, לדרוש נקיטת אמצעים קונקרטיים, ואף להורות על פעולות טכנולוגיות בחומר מחשב לצורך מניעה, איתור או בלימה של תקיפות סייבר חמורות. לצד זאת, מוקמות יחידות מגזריות ברשויות המוסמכות, האמונות על פיקוח שוטף ואכיפה במגזרי המשק השונים.
החוק מטיל על ארגונים חיוניים חובות ברורות לקיום רמת הגנת סייבר ראויה, בהתאם לתקנים בינלאומיים מוכרים, וכן חובת דיווח מיידית על תקיפות סייבר משמעותיות. הפרת החובות עלולה להוביל להטלת עיצומים כספיים בהיקפים ניכרים, התראות מנהליות ואף אחריות פלילית, לרבות אחריות אישית של נושאי משרה שלא פיקחו כראוי על יישום הוראות החוק.
בין הגנת סייבר לבין דיני הגנת הפרטיות
תזכיר החוק מנסה להסדיר את יחסי הגומלין בין צורכי הגנת הסייבר, לבין דיני הגנת הפרטיות. תזכיר החוק מכיר בכך שפעולות סייבר, ובפרט ניטור, איסוף, עיבוד וניתוח מידע ממערכות מחשב, עלולות לכלול מידע אישי ואף מידע רגיש. משכך, הצורך לקבוע בחקיקה ראשית, עקרונות בלימה ואיזון שימנעו פגיעה עודפת בזכויות הפרט.
בהתאם לכך, החוק כולל מנגנונים ייעודיים המחייבים עמידה בעקרונות של מידתיות, עקרון צמידות המטרה, צמצום איסוף המידע להיקף ההכרחי בלבד, שימוש באמצעים טכנולוגיים שפגיעתם פחותה ככל האפשר, וכן חובות תיעוד, בקרה ופיקוח על הפעלת סמכויות הסייבר. פעולות מסוימות כפופות להיתרים, להגבלות זמן ולבחינה מתמשכת של נחיצותן, וזאת במטרה להבטיח שהשימוש בסמכויות ייעשה לצורך ייעודי של מניעת או בלימת תקיפות סייבר חמורות בלבד.
הסדרה זו משתלבת עם דיני הגנת הפרטיות הקיימים ועם עקרונות חוקתיים שנקבעו בפסיקת בתי המשפט, ובראשם ההכרה בזכות לפרטיות כזכות יסוד. בכך מבקש המחוקק לאזן בין אינטרס לאומי מובהק של הגנה על תשתיות ושירותים חיוניים, לבין שמירה על אמון הציבור, על זכויות הפרט ועל סטנדרטים משפטיים מקובלים בדין הישראלי והבינלאומי.
מנגנוני סיוע של מערך הסייבר הלאומי
לצד הטלת חובות רגולטוריות על ארגונים, החוק מאמץ גישה מאוזנת המשלבת גם מנגנוני סיוע ותמיכה. במסגרת זו, מערך הסייבר הלאומי מוסמך להעניק לארגונים סיוע טכנולוגי ומקצועי, הן לצורכי היערכות מוקדמת והן בעת התרחשותם של אירועי סייבר בפועל. סיוע זה עשוי לכלול, בין היתר, ייעוץ מקצועי, הנחיות אופרטיביות, סיוע בזיהוי ונטרול איומים, וכן ליווי בהתמודדות עם השלכות האירוע.
הפעלת סמכויות הסיוע מותנית בהסכמת הארגון הנוגע בדבר, ותיעשה תוך הקפדה על עקרונות של שקיפות, מידתיות והסדרה ברורה של אופן עיבוד מידע אישי, וזאת במטרה להבטיח את ההגנה על פרטיות ואת אמון הגופים המסתייעים. בכך מבטא החוק תפיסה מערכתית רחבה, הרואה בשיתוף פעולה בין המדינה למגזר הציבורי והפרטי אבן יסוד לחיזוק החוסן הלאומי במרחב הסייבר.
השלכות רוחב והיערכות נדרשת מצד ארגונים וגופים מפוקחים
תזכיר החוק צפוי לחול על קשת רחבה במיוחד של גופים במשק, ובהם משרדי ממשלה ויחידות סמך, רשויות מקומיות ותאגידים עירוניים, חברות ממשלתיות ותשתיות לאומיות, ספקי שירותי IT, חברות ענן, גופים פיננסיים, גופי בריאות, וכן ארגונים גדולים במגזר הפרטי אשר פעילותם נשענת על מערכות מידע קריטיות או על מתן שירותים דיגיטליים לציבור. עבור גופים אלה, אין מדובר בהסדרה נקודתית או טכנית בלבד, אלא בשינוי תפיסתי המחייב הטמעה של ניהול סיכוני סייבר כחלק בלתי נפרד מממשל תאגידי תקין וניהול שוטף.
כבר בשלב זה נדרשת היערכות רב־ממדית: ברמה המשפטית – ניתוח תחולת החוק על הארגון, זיהוי חובות הדיווח, הפיקוח והציות, והטמעת מנגנוני בקרה פנימיים; ברמה הארגונית – קביעת מבנה אחריות ברור, מינוי גורמים ייעודיים (כגון מנהל הגנת סייבר או ועדת סייבר), והסדרת ממשקי עבודה בין הנהלה, מערכות מידע, ייעוץ משפטי וגורמי חוץ; וברמה הטכנולוגית – מיפוי נכסי מידע ומערכות קריטיות, הערכת סיכונים, התאמה לתקנים ולנהלים שיוגדרו, והיערכות לניהול ודיווח של אירועי סייבר בזמן אמת.
החוק אף מחדד את אחריותם האישית של נושאי משרה והנהלות, ומציב רף ציפיות גבוה לפיקוח פעיל, לקבלת החלטות מושכלת ולהקצאת משאבים סבירה להגנת סייבר. בהקשר זה, אי־נקיטת צעדים סבירים עלולה להיחשב כהפרת חובת זהירות או חובת אמונים, ולהוביל לסיכונים משפטיים, רגולטוריים ותדמיתיים משמעותיים.
לעיון בתזכיר החוק, כאן.
משרד עו”ד וולר ושות׳ מלווה ארגונים, רשויות מקומיות וגופים ציבוריים ופרטיים בהיערכות לרגולציית סייבר ופרטיות, בניתוח השלכות רגולטוריות, בבניית מסגרות ציות ובהתמודדות עם הליכי פיקוח ואכיפה.
