התאחדות התעשיינים נגד חוק הסייבר החדש: "יביא לפגיעה אנושה בהייטק ובמשק הישראלי"

ישראל היא אחת המדינות המותקפות ביותר בסייבר בעולם – והוויכוח סביב החוק הסייבר החדש מחריף. בזמן שמערך הסייבר הלאומי מקדם את תזכיר חוק הגנת הסייבר הלאומית ל-2026, שנסגר להערות הציבור וצפוי לעבור בהמשך לוועדת השרים לחקיקה ואז לשלוש קריאות בכנסת, בהתאחדות התעשיינים ואיגוד ההייטק הישראלי דורשים לעצור מיד את המהלך, ומזהירים כי "החוק צפוי לפגוע אנושות" בכושר התחרות של המשק ובריחת חברות בין-לאומיות מישראל, וכי "הוראותיו, בוודאות גבוהה, עשויות להביא לפגיעה קשה ובלתי הפיכה במשק הישראלי כולו". במערך הסייבר הלאומי משיבים לטענות: החוק מידתי ומאוזן, מותאם למה שקורה בעולם ונובע מהאיומים יוצאי הדופן על ישראל.

לפי נתוני דוח מערך הסייבר הלאומי ל-2025 שפורסמו השבוע, כ-64% מפעילות קבוצות התקיפה המדינתיות האיראניות מופנית נגד ישראל. במקביל, ישראל מדורגת כמדינה המותקפת ביותר בעולם לפי דוח רדוור, ושלישית לפי דוח מיקרוסופט. הרקע הזה, לצד שורת אירועים – האחרונה שבהן היא דליפה של מיילים משירותי בריאות כללית – שימש בסיס לקידום החוק.

מה קובע החוק?

התזכיר מחיל רגולציה ממוקדת על ארגונים חיוניים וספקי שירותים דיגיטליים, בהם משרדי ממשלה, גופי אנרגיה, בריאות, מים, תחבורה, רשויות מקומיות גדולות, יצרני וקמעונאי מזון גדולים, וכן ספקי ענן ושירותי אחסון.

החוק מחייב ניהול סיכוני סייבר, עמידה ברמת הגנה נאותה ודיווח מיידי על "תקיפת סייבר משמעותית". במקרה של "תקיפת סייבר חמורה", כזו המאיימת על רציפות תפקוד, ביטחון המדינה או חיי אדם, יוכל הרגולטור המגזרי או מערך הסייבר להתערב.

אם ארגון לא יטפל באירוע כראוי, ניתן יהיה להורות לו לבצע פעולות מחייבות, כולל חסימת תקשורת, התקנת תוכנות ניטור או מחיקת קבצים זדוניים. במקרים מסוימים ניתן יהיה לדרוש מסירת מסמכים או העתקים מחומר מחשב, כפוף לעקרונות של מידתיות ופגיעה מינימלית בפרטיות וברציפות התפקודית.

החוק קובע גם סנקציות: עד 640 אלף שקל על כל הפרה פרטנית של תקני הגנה, 300 אלף שקל על אי-דיווח או אי-שיתוף פעולה, ואף עבירה פלילית שעשויה להוביל לעד שנתיים מאסר במקרה של הפרת הוראות באירוע חמור.

לצד זאת מוצע "מסלול ירוק": ארגונים שיעמדו בתקן האמריקאי NIST 800-53 ברמה בינונית או גבוהה יקבלו פטור של שנתיים מרוב חובות החוק, למעט חובת הדיווח.

"פותר בעיה שלא קיימת"

במכתב חריף ששלחו לראש מערך הסייבר, תא"ל במיל' יוסי כראדי, מזהירים בהתאחדות התעשיינים כאמור כי החוק בנוסחו הנוכחי יפגע פגיעה בלתי הפיכה בתעשייה.

ליאור פרנקל, יו"ר פורום חברות הסייבר באיגוד ההייטק ומנכ"ל ויזם חברת הסייבר Waterfall Security, מסביר בשיחה עם mako: "החוק כתוב בצורה לא ברורה, והוא מגדיר תקיפת סייבר חמורה באופן אמורפי, אפילו על בסיס חשש לפני שהדברים קורים".

לדבריו, מעבר לשאלת המידתיות, מדובר בחוק ש"פותר בעיה שלא קיימת". "החוק הזה נועד לגרום לחברה לשתף פעולה עם מערך הסייבר בזמן תקיפה חמורה. אבל ראינו מאז 8.10 שחברות הייטק וחברות סייבר מתגייסות מיוזמתן, בלי חקיקה ובלי איומים. בשביל הפרומיל שאולי לא ישתף פעולה, צריך חוק כזה? זה כמו לדפוק מסמר עם קונגו בשביל תמונה".

פרנקל מדגיש כי חברות הייטק ישראליות הן מוטות יצוא ומחזיקות נתונים של לקוחות מחו"ל. "אם אני מוגדר כחברה חיונית, ובמערך הסייבר עולה חשש לתקיפה חמורה, הם יכולים לדרוש העתק של הנתונים שלי ולהתקין תוכנה ממשלתית ברשת שלי, גם כשאני מחזיק בנתונים של אזרחים אירופים – בלי צו שיפוטי או ביקורת שיפוטית".

לטענתו, החוק עלול לפגוע במעמד "ההגנה הנאותה" של מדינת ישראל מול האיחוד האירופי לפי רגולציית GDPR, רגולציית להגנת המידע של האיחוד האירופי שנחקקה ב-2018, וכתוצאה מזאת למנוע מחברות ישראליות להחזיק ולעבד מידע של אזרחים אירופים. "זה אירוע משברי ברמה שאין דרך לתאר", הוא אומר.

עוד מזהיר פרנקל כי עצם קיומה של סמכות רחבה כזו ייצור רתיעה אצל שותפים בחו"ל. "אלה שלא רוצים לעבוד עם ישראל יקבלו תירוץ, ואלה שכן רוצים - לא יוכלו, כי יש להם אחריות לפי החוקים המקומיים שלהם. אף חברה לא תרצה לעבוד עם גוף שיש לו דלת אחורית ממשלתית שיכולה לגשת לנתונים שלה. אני שומע ממקבילים שלנו, באיגוד ההייטק ובהתאחדות התעשיינים, בארה"ב, למשל, שהחוק הזה מאוד מטריד את החברות שהם עובדים איתם".

בהתאחדות מתריעים גם מפני כאוס רגולטורי – מצב שבו חברה מותקפת תידרש לדווח במקביל למערך הסייבר, לרגולטור המגזרי (משרד ממשלתי שהיא משויכת אליו, למשל בתי חולים למשרד הבריאות) ולרשות הגנת הפרטיות, דווקא בשיאו של אירוע חירום. בנוסף, הם מבקרים את גובה הקנסות שיכולים לפגוע בחברות סטארטאפ בתחילת דרכן ואת פרק הזמן של 12 חודשים להיערכות, שלדבריהם קצר מדי.

"הבעיה הגדולה, מעבר לזה שהוא חוק דרקוני ולא מידתי ופותר בעיה לא קיימת, היא שהנזק שהוא יכול לגרום לתעשיית ההייטק הוא בלתי ניתן לתיקון", מסכם פרנקל.

מערך הסייבר: "חוק מידתי ומאוזן, ישראל בפיגור של עשור"

במערך הסייבר דוחים את הטענות של התאחדות התעשיינים, וטוענים בפני mako כי מדובר בחוק מידתי ומאוזן, שזכה גם לשבחים מהמכון הישראלי לדמוקרטיה, ואומרים כי היו גם גורמים שטענו כי אפשר היה עוד להחמיר אותו. הם מסבירים כי באירופה חוקי סייבר נחקקו כבר ב-2014-2015 בשני גלי חקיקות, וכי ישראל, אחת המדינות המותקפות בעולם כאמור, נמצאת בפיגור של עשור אחריהם.

עוד הם מסבירים כי גם ביחס להוראת השעה שכבר נחקקה בדצמבר 2023, היו שטענו כי היא תגרום למשק הישראלי לקרוס, והתחזיות התבדו - המשק הישראלי וההייטק הישראלי ממשיכים להיות חזקים.

במערך הסייבר אומרים כי באירופה החוק להגנת הסייבר תקף גם על ארגונים וחברות בינוניות, ואילו כאן הם החליטו להתמקד רק בארגונים חיוניים, שפגיעה בפעילות שלהם היא בעלת פוטנציאל לנזק והשפעה על רבים.

בנושא שיתוף הפעולה, הם אומרים מניסיונם כי יש חברות רבות שדווקא אינן מוטרדות מכך שכך שיש להן תוקף במערכות, ולא חושבות שיש סיבה ליידע את הלקוחות שלהן. "על כל חברה אחת שמדווחת על אירועי סייבר – יש 3 חברות שלא מדווחות, עד לחקיקת הוראת השעה - מיעטו לשתף איתנו פעולה", הם מסבירים.

במערך מדגישים כי ההתערבות תיעשה, אך ורק אם ארגון לא מטפל באירוע כראוי. "אנחנו לא נכנסים לרשת של החברה. היא זו שמבצעת את הפעולות שאנחנו מורים להן. בסמכותנו לבקש העתקים של חומרים רלוונטיים, לא לנהל את האירוע במקומם", אומרים שם. "אין שום דלת אחורית".

באשר לעיצומים הכספיים, הם מזכירים כי באירופה הקנסות מגיעים ל-7-10 מיליון אירו. לדבריהם, הנזק השנתי ממתקפות סייבר לישראל מוערך בכ-12 מיליארד שקל, ויש צורך בכלי אכיפה אפקטיביים.

הם מבהירים כי אף אחד "לא אוהב" רגולציה, אבל אי אפשר לפקח על גוף בלי שיהיו לו סמכויות פיקוח. "החוק הזה נוצר, כי יש פה כשל שוק מובנה שצריך לתקן אותו", הם מסבירים, ומציגים שורת דוגמאות של מתקפות סייבר בולטות שקרו השנה בארץ ובעולם, כשהבולט שבהם היה שיתוק שדות תעופה בארה"ב ובאירופה.