רגולציית סייבר ישראלית

מיומנות זו מספקת הנחיות רגולטוריות למסגרות אבטחת סייבר ישראליות. היא אינה מחליפה ייעוץ משפטי או ביקורת אבטחה מקצועית. לציות לחוקי פרטיות (הגנת מידע, הסכמה, רישום מאגרי מידע), השתמשו במיומנות israeli-privacy-compliance במקום.

שלב 1: זיהוי מסגרת רגולטורית רלוונטית

קבעו אילו תקנות אבטחת סייבר ישראליות חלות על הארגון.

מסגרת	חלה על	רגולטור	מוקד מרכזי
הנחיות מערך הסייבר הלאומי	כל הארגונים, חובה לתשתיות קריטיות	מערך הסייבר (INCD)	ניהול סיכונים, דיווח אירועים, בקרות בסיס
הוראת בנק ישראל 361	בנקים, ביטוח, חברות כרטיסי אשראי	בנק ישראל	ממשל סייבר, SOC, בדיקות חדירה
הוראת בנק ישראל 357	ספקי שירותי תשלום, פינטק	בנק ישראל	אבטחת תשלומים, ניטור עסקאות, מניעת הונאות
דרישות רשות ני"ע	חברות הנסחרות בבורסת ת"א	רשות ניירות ערך	גילוי, פיקוח דירקטוריון, דיווח סיכוני סייבר
הנחיות סייבר משרד הבריאות	בתי חולים, קופות חולים, הלת'טק	משרד הבריאות	הגנת נתוני מטופלים, אבטחת מכשור רפואי
כללי תקשורת	ספקי תקשורת	משרד התקשורת	אבטחת רשת, האזנה חוקית, שמירת מידע

לוגיקת החלטה:

האם הארגון מסווג כתשתית קריטית על ידי מערך הסייבר?
  כן -> הנחיות מערך הסייבר חובה + רגולטור מגזרי
האם הארגון הוא בנק, מבטח או חברת אשראי?
  כן -> הוראה 361 חלה (+ מערך הסייבר אם קריטי)
האם הארגון מספק שירותי תשלום?
  כן -> הוראה 357 חלה
האם הארגון נסחר בבורסת ת"א?
  כן -> דרישות גילוי סייבר של רשות ני"ע חלות
האם הארגון בתחום הבריאות?
  כן -> הנחיות סייבר משרד הבריאות חלות
כל הארגונים -> המלצות בסיס מרצון של מערך הסייבר חלות

שלב 2: הערכת מסגרת מערך הסייבר הלאומי (INCD)

מערך הסייבר הלאומי קובע את מדיניות אבטחת הסייבר הלאומית.

מסגרת חמשת העמודים של מערך הסייבר:

עמוד	אנגלית	דרישות מרכזיות
זיהוי	Identify	מיפוי נכסים, הערכת סיכונים, מיפוי שרשרת אספקה
הגנה	Protect	בקרות גישה, הצפנה, תצורה מאובטחת, הכשרה
גילוי	Detect	ניטור, זיהוי חריגות, ניתוח לוגים, מודיעין איומים
תגובה	Respond	תוכנית תגובה לאירועים, בלימה, תקשורת, תיאום עם CERT-IL
שחזור	Recover	המשכיות עסקית, אימות גיבויים, הפקת לקחים

דרישות דיווח אירועים של מערך הסייבר:

• תשתית קריטית: דיווח ל-CERT-IL תוך שעות מהגילוי
• גופים ממשלתיים: דיווח חובה לפי רשות התקשוב הממשלתית
• מגזר פרטי: מרצון אך מומלץ מאוד; CERT-IL מספק סיוע חינמי
• ערוץ דיווח: קו חם של CERT-IL או פורטל מאובטח ב-https://www.gov.il/he/departments/israel_national_cyber_directorate

רשימת בדיקה שנתית למערך הסייבר:

• הערכת סיכונים הושלמה ותועדה
• מיפוי נכסים עדכני (כולל OT/IoT)
• תוכנית תגובה לאירועים נבדקה (תרגיל שולחני או חי)
• סקירת אבטחת שרשרת אספקה בוצעה
• הכשרת מודעות סייבר לעובדים בוצעה
• נהלי גיבוי ושחזור אומתו
• בדיקת חדירה חיצונית (לתשתית קריטית)

שלב 3: הוראת בנק ישראל 361 — סייבר למוסדות פיננסיים

הוראה 361 מסדירה את אבטחת הסייבר לבנקים ומוסדות פיננסיים.

דרישות ליבה:

1. ממשל סייבר ברמת הדירקטוריון: הדירקטוריון חייב לאשר אסטרטגיית סייבר ולקבל דוחות רבעוניים
2. CISO ייעודי: חובה למנות קצין אבטחת מידע ראשי הכפוף להנהלה בכירה
3. מרכז תפעול אבטחה (SOC): ניטור 24/7 לבנקים עם פעילות דיגיטלית משמעותית
4. בדיקות חדירה: בדיקת חדירה חיצונית שנתית על ידי חברה ישראלית מוסמכת
5. סיכון צד שלישי: בדיקת נאותות לכל ספקי הטכנולוגיה, ספקי ענן דורשים אישור בנק ישראל
6. דיווח אירועים: דיווח על אירועי סייבר משמעותיים לפיקוח על הבנקים תוך 24 שעות

מטריצת ציות להוראה 361:

תחום בקרה	דרישה	ראיות נדרשות
ממשל	מדיניות סייבר מאושרת דירקטוריון	מסמך מדיניות + פרוטוקולים
כוח אדם	מינוי CISO	כתב מינוי, מבנה ארגוני
SOC	ניטור רציף	נהלי SOC, לוגי התראות
בדיקות	בדיקת חדירה שנתית	דוח בדיקת חדירה, תוכנית תיקון
ניהול ספקים	אישור ענן/ספקים	מסמכי אישור, SLA
תגובה לאירועים	דיווח תוך 24 שעות	תוכנית IR, רישומי תרגילים
המשכיות עסקית	אתר DR ובדיקות	מסמך BCP, תוצאות תרגיל DR

שלב 4: הוראת בנק ישראל 357 — אבטחת תשלומים

הוראה 357 מכסה אבטחה לשירותי תשלום ופעילות פינטק.

דרישות מרכזיות:

• ניטור עסקאות: זיהוי הונאות בזמן אמת לכל ערוצי התשלום
• אימות חזק: אימות רב-גורמי לעסקאות בערך גבוה
• הצפנה: הצפנה מקצה לקצה לנתוני תשלום בתנועה ובמנוחה
• התאמה ל-PCI DSS: ספקי תשלום ישראליים חייבים לעמוד בתקני PCI DSS
• אבטחת API: עיצוב API מאובטח לממשקי בנקאות פתוחה
• הודעה לצרכן: התראה ללקוחות על פעילות עסקאות חשודה

שיקולים ייחודיים לפינטק:

• בעלי רישיון פינטק חדשים תחת פיקוח בנק ישראל חייבים להגיש הערכת סייבר לפני השקה
• שירותי ייזום תשלומים דורשים ניטור עסקאות מוגבר
• ספקי ארנקים דיגיטליים חייבים ליישם קשירת מכשיר ואימות ביומטרי
• שירותי תשלום חוצי גבולות כפופים לבקרות סייבר נוספות של איסור הלבנת הון

שלב 5: דרישות רשות ניירות ערך לחברות בורסאיות

רשות ניירות ערך דורשת מחברות נסחרות להתייחס לסיכוני סייבר.

דרישות גילוי:

1. דוח שנתי: גילוי סיכוני סייבר מהותיים בדיווח השנתי
2. דיווח מיידי: הגשת דיווח מיידי על אירועי סייבר מהותיים
3. פיקוח דירקטוריון: הדירקטוריון חייב להפגין מודעות לניהול סיכוני סייבר
4. גורמי סיכון: סיכוני סייבר חייבים להופיע בפרק גורמי הסיכון אם מהותיים

מבחן מהותיות לאירועי סייבר:

האם משקיע סביר היה רואה מידע זה כחשוב?
  - פריצת מידע המשפיעה על לקוחות -> ככל הנראה מהותי
  - כופרה המשבשת פעילות -> ככל הנראה מהותי
  - ניסיון פישינג שנבלם -> ככל הנראה לא מהותי
  - פריצה לספק ללא חשיפת מידע -> בהתאם לנסיבות
הגש דיווח מיידי אם: שיבוש תפעולי מעל 24 שעות, נתוני לקוחות נחשפו,
  הפסד כספי מעל 1% מההון העצמי, או נפתחה חקירה רגולטורית

שלב 6: כללים מגזריים

החלת דרישות נוספות בהתאם לענף.

פינטק / בנקאות:

• הוראות בנק ישראל 361 + 357 (ראו שלבים 3-4)
• תקני אבטחה לבנקאות פתוחה (לפי מפת הדרכים של בנק ישראל)
• בקרות סייבר למניעת הלבנת הון לפי הרשות לאיסור הלבנת הון

הלת'טק / בריאות דיגיטלית:

• חוזר משרד הבריאות בנושא אבטחת מידע בריאותי
• נתוני מטופלים: חוק הגנת הפרטיות + כללים ייחודיים של משרד הבריאות
• מכשור רפואי: דרישות סייבר CE/FDA + רישום משרד הבריאות
• טלרפואה: וידאו מאובטח, אימות, מסלולי ביקורת לפי הנחיות משרד הבריאות

ביטחון / אווירונאוטיקה:

• פיקוח מנהלת אבטחת מערכת הביטחון (מלמ"ב)
• טיפול במידע מסווג לפי תקנות אבטחת מידע ביטחוני
• אבטחת שרשרת אספקה לקבלני ביטחון

תקשורת / ספקי אינטרנט:

• דרישות אבטחת רשת של משרד התקשורת
• יכולות האזנה חוקית לפי חוק האזנות סתר
• חובות שמירה והגנה על מידע לקוחות

אנרגיה / תשתיות:

• הנחיות חובה של מערך הסייבר לתשתית קריטית
• דרישות אבטחת SCADA/OT
• בקרות התכנסות פיזית-סייברית

שלב 7: בניית מפת דרכים לציות רגולטורי

יצירת תוכנית פעולה מתועדפת על בסיס פערים שזוהו.

מסגרת תעדוף:

עדיפות	קריטריונים	לוח זמנים
קריטי	חובה רגולטורית עם מועד אכיפה	0-30 יום
גבוה	נדרש על ידי רגולטור, ללא מועד מיידי	30-90 יום
בינוני	שיטה מומלצת של מערך הסייבר	90-180 יום
נמוך	שיפור מעבר לדרישות מינימום	180-365 יום

תבנית מפת דרכים:

1. זיהוי כל המסגרות הרלוונטיות (שלב 1)
2. מיפוי בקרות קיימות מול דרישות
3. ביצוע ניתוח פערים
4. תעדוף פערים לפי סיכון רגולטורי
5. הקצאת אחראים ומועדים
6. יישום בקרות
7. תיעוד ראיות לביקורת
8. תזמון סקירה תקופתית (רבעונית לפיננסי, שנתית מינימום)

דוגמה 1: סטארטאפ פינטק לפני השקה

המשתמש אומר: "אנחנו משיקים אפליקציית תשלומים בישראל, אילו תקנות סייבר חלות?" פעולות:

1. זיהוי: הוראת בנק ישראל 357 (אבטחת תשלומים) + בסיס מערך הסייבר
2. מיפוי דרישות: ניטור עסקאות, MFA, הצפנה, PCI DSS
3. בדיקה אם מתוכננת הנפקה בבורסה (דרישות רשות ני"ע)
4. בניית רשימת ציות טרום-השקה עם דרישות הגשה לבנק ישראל תוצאה: מפת דרכים מתועדפת לציות רגולטורי להשקת פינטק עם לוח זמנים להגשה לבנק ישראל.

דוגמה 2: ביקורת סייבר שנתית לבנק

המשתמש אומר: "אנחנו צריכים להתכונן לסקירה השנתית של הוראה 361" פעולות:

1. סקירת מטריצת ציות הוראה 361 מול בקרות קיימות
2. אימות: אישור דירקטוריון, דיווח CISO, פעילות SOC, תוצאות בדיקת חדירה
3. בדיקת תיעוד ניהול ספקים ואישורי ענן
4. הכנת דוח פערים עם תוכנית תיקון וחבילת ראיות תוצאה: חבילת הכנה מלאה לביקורת הוראה 361 עם רשימת ראיות ותוכנית תיקון פערים.

דוגמה 3: אירוע סייבר בחברה בורסאית

המשתמש אומר: "הייתה לנו פריצת מידע, האם אנחנו צריכים לדווח לרשות ני"ע?" פעולות:

1. הפעלת מבחן מהותיות: נתוני לקוחות נחשפו, השפעה תפעולית, הפסד כספי
2. הערכת חובת דיווח מיידי לפי כללי רשות ני"ע
3. בדיקת דרישות דיווח למערך הסייבר/CERT-IL
4. טיוטת לוח זמנים לגילוי: דיווח מיידי לרשות ני"ע + הודעה ל-CERT-IL + הודעה ללקוחות תוצאה: החלטת גילוי אירוע עם לוח זמנים לדיווח רגולטורי ומסגרת טיוטת הודעה.

דוגמה 4: הערכת ציות להלת'טק

המשתמש אומר: "הסטארטאפ שלנו בתחום ההלת'טק מטפל בנתוני מטופלים, אילו כללי סייבר חלים?" פעולות:

1. זיהוי: הנחיות סייבר משרד הבריאות + בסיס מערך הסייבר + חוק הגנת הפרטיות
2. מיפוי דרישות נתוני מטופלים: הצפנה, בקרות גישה, מסלולי ביקורת
3. בדיקת סיווג מכשור רפואי (אם רלוונטי)
4. בניית מטריצת ציות המשלבת דרישות משרד הבריאות, מערך הסייבר ופרטיות תוצאה: מטריצת ציות רב-מסגרתית עם בקרות ייחודיות להלת'טק ודרישות הגשה למשרד הבריאות.

חומרי עיון

• references/incd-guidelines.md -- מדריך מקיף למסגרת מערך הסייבר הלאומי (INCD) כולל מודל הגנת סייבר חמשת העמודים, נהלי דיווח ל-CERT-IL, סיווגי תשתית קריטית, ודרישות בסיס לאבטחת סייבר לאומית. יש לעיין בו בעת הערכת ציות למערך הסייבר או הכנת דיווחי אירועים.
• references/sector-rules.md -- פרטי רגולציית אבטחת סייבר מגזריים לשירותים פיננסיים (הוראות 361/357), הלת'טק (משרד הבריאות), ביטחון (מלמ"ב), תקשורת ואנרגיה. כולל מטריצות בקרה, מועדי דיווח ופרטי קשר של רגולטורים. יש לעיין בו בעת מיפוי דרישות מגזריות.

שגיאה: "אי ודאות איזו מסגרת חלה"

סיבה: הארגון פועל במספר מגזרים מפוקחים פתרון: החילו את כל המסגרות הרלוונטיות. התחילו מבסיס מערך הסייבר (חל על כולם), ולאחר מכן הוסיפו שכבות של דרישות מגזריות. לגופים בפיקוח כפול (למשל, פינטק הנסחר בבורסה), שלבו הוראה 357 + דרישות רשות ני"ע.

שגיאה: "דרישות סותרות בין רגולטורים"

סיבה: רגולטורים שונים קובעים תקנים שונים לתחומים חופפים פתרון: החילו את הדרישה המחמירה יותר. תעדו את ההצדקה. לסתירות פורמליות, התייעצו עם עורך דין המתמחה ברגולציה פיננסית ישראלית.

שגיאה: "אין רגולציית סייבר ברורה למגזר שלנו"

סיבה: חלק מהמגזרים חסרים רגולציית סייבר ספציפית פתרון: עקבו אחר המלצות הבסיס של מערך הסייבר כתקן מינימום. אם מטפלים במידע אישי, החילו גם את תקנות האבטחה של חוק הגנת הפרטיות (2017). עקבו אחר פרסומי מערך הסייבר להנחיות מגזריות מתפתחות.