מאת: עו"ד הדס תמם בן אברהם | ראש מכון המחקר לניהול סיכוני סייבר ומנכלית חברת INTACT-CYBER וחברת נשיאות הלשכה

25.8.2025

הסביבה הרגולטורית הישראלית עוברת שינוי מערכתי מואץ, המשלב רפורמות חקיקה בתחום אבטחת המידע, הגנת הפרטיות וניהול סיכוני בינה מלאכותית. הבנת ההקשרים, החובות וההשלכות היא תנאי הכרחי ליצירת מוכנות ארגונית אפקטיבית.

העשור האחרון מאופיין במגמת הקשחה רגולטורית גלובלית בנושאי סייבר ופרטיות, וישראל מאמצת גישה דומה תוך התאמתה להקשרים מקומיים, גיאו-פוליטיים וטכנולוגיים. שני צירים מרכזיים מובילים את השינוי: חוק ההתמודדות עם תקיפות סייבר חמורות ותיקון 13 לחוק הגנת הפרטיות. בנוסף, כבר ניתן להבחין בניצני רגולציה ייעודית בתחום הבינה המלאכותית, בהשראת ה-AI Act האירופי, אשר צפויה לחייב ניהול סיכוני AI בשיטות שקופות ומבוססות מתודולוגיה.

חוק ההתמודדות עם תקיפות סייבר חמורות

החוק, שמקורו בהוראת שעה לשעת חירום, מקבל כעת מעמד קבע ומעגן בחוק סמכויות רחבות לרגולטור לדרוש דיווחים, נתונים ומסמכים טכנולוגיים מארגונים שנפגעו. מנגנון הדיווח כולל שלושה שלבים מחייבים: דיווח ראשוני תוך 24 שעות, עדכון ביניים תוך 72 שעות, ודוח מסכם מלא תוך 30 יום. מבנה זה דורש מאגרים ארגוניים של נתוני אבטחה, יכולות ניטור בזמן אמת, נהלי תגובה סדורים וצוותי קשר ייעודיים. אף שעמידה בתקנים בינלאומיים כגון ISO 27001 או NIST 800-53 עשויה להקל על ההיערכות, היא איננה מחליפה את חובת הציות המלאה להוראות החוק.

החוק משתלב עם מסגרות אבטחת המידע הרחבות יותר ומהווה נדבך קריטי בהבנת החיבור הישיר לתיקון 13, המתמקד בהגנת הפרטיות אך נשען על תשתיות אבטחה מבוססות.

תיקון 13 לחוק הגנת הפרטיות

תיקון זה מהווה רפורמה מבנית שנועדה להתאים את החוק למודלים עכשוויים של עיבוד נתונים – מבוזרים, מבוססי ענן ובעלי נפח גבוה. התיקון מעניק סמכויות פיקוח ואכיפה מורחבות לרשם מאגרי המידע, מחייב דיווח מיידי על אירועי אבטחת מידע לרשם ואף לנושאי המידע עצמם, ומטיל חובת תיעוד מקיף של כל פעולות ההתמודדות עם האירוע. הדרישות כוללות יישום מנגנוני הגנה מתקדמים – הצפנה חזקה, בקרות גישה רב-שלביות, ניטור רציף ואנליטיקה לזיהוי חריגות – בשילוב מדיניות ונהלים פנימיים והערכת סיכונים תקופתית. בנוסף, הארגון נדרש לשקיפות פרואקטיבית מול הציבור, כולל אפשרות לעיון, תיקון ומחיקה של נתונים.

אי-ציות עשוי להוביל לקנסות כבדים, הליכים מנהליים ופגיעה חמורה במוניטין – אלמנט שהפך רגיש במיוחד לנוכח מודעות הציבור להפרות פרטיות.

המשגה ניהולית והשלכות מעשיות

המעבר הנדרש איננו טכני בלבד, אלא טרנספורמציה תרבותית-אסטרטגית עמוקה: אבטחת המידע חדלה מלהיות פונקציה תומכת והופכת למרכיב מרכזי ומשפיע בליבת תהליכי קבלת ההחלטות הארגוניים. מנהלים נדרשים לבצע מיפוי מקיף ומעמיק של כלל נכסי המידע, לרבות זיהוי תלויות טכנולוגיות ועסקיות; לנסח וליישם נהלי תגובה, דיווח ותיעוד מובנים; להטמיע בקרות אבטחה מתקדמות המתואמות לסיכונים הייחודיים של הארגון; להכשיר ולתחזק כשירות מקצועית גבוהה בקרב כוח האדם בכל הדרגים; ולבצע ביקורות פנימיות שיטתיות, רציפות ומבוססות מדדים להערכת עמידה ביעדי אבטחה וציות רגולטורי.

סיכום

הדינמיקה הרגולטורית בישראל עברה בשנים האחרונות מהלך של האצה – מהתפתחות הדרגתית לתגובה נחושה מול האיומים. עם עלייה חדה בכמות ובתחכום מתקפות הסייבר, והצפי להחמרת הדרישות בנוגע לבינה מלאכותית, אי-היערכות היא סיכון אסטרטגי מהותי. כעת הזמן לגבש תוכנית פעולה רב-שכבתית שתהפוך את הציות והאבטחה מנקודת חולשה פוטנציאלית ליתרון תחרותי בר קיימא.