קובץ התקנות ,10921י"ד בכסלו התשפ"ד, 27.11.2023618קובץ התקנות ,10921י"ד בכסלו התשפ"ד, 27.11.2023תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון,) התשפ"ד-2023בתוקף סמכותה לפי סעיף 39לחוק–יסוד: הממשלה ,1מתקינה הממשלה תקנות שעת חירום אלה:
| .1 |
| "ידיעה או מסמך" – לרבות העתק חומר מחשב; |
בתקנות שעת חירום אלה -"חומר מחשב" ו"מחשב" – כהגדרתם בחוק המחשבים; "חוק המחשבים" – חוק המחשבים, התשנ"ה-;21995 "חוק להסדרת הביטחון" – חוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-;31998"מלמ"ב" – הממונה על הביטחון במערכת הביטחון כמשמעותו בסעיף 21לחוק להסדרת הביטחון;"מנהל מוסמך" – אחד מאלה או ממלא מקומו, לפי העניין: ( )1ראש מחלקה בחטיבת איומי סייבר בשב"כ;( )2ראש מרכז תגובה ( )IRבמערך הסייבר;( )3ראש היחידה הטכנולוגית במלמ"ב; "מערך הסייבר" – מערך הסייבר הלאומי כהגדרתו בחוק להסדרת הביטחון; "ספק" – אחד מאלה:( )1מי שעיסוקו באספקת שירותי אחסון או שירותים דיגיטליים, ומתקיים חיבור פיזי או לוגי, קבוע או עיתי, או העברת מידע תדירה ממחשבי הספקלמחשבי מקבל שירותיו; ( )2מי שעיסוקו באספקת שירותי תחזוקה, ניהול או בקרה של שירותי האחסון או שירותים דיגיטליים;"עובד מוסמך" – כל אחד מאלה: , ( )1עובד השירות כהגדרתו בחוק שירות הביטחון הכללי, התשס"ב-42002 שהוסמך בכתב לעניין תקנות שעת חירום אלה בידי ראש חטיבת איומי סייבר בשב"כ או מנהל בשב"כ בדרגת ראש מחלקה הממלא את מקומו; ( )2עובד מערך הסייבר שהוסמך בכתב לעניין תקנות שעת חירום אלה בידי ראש חטיבת ההגנה במערך הסייבר; ( )3עובד מלמ"ב שהוסמך בכתב לעניין תקנות שעת חירום אלה בידי ראשהיחידה הטכנולוגית במלמ"ב, לעניין ספק של הגופים המנויים בפרטים 2ו–3 לתוספת הראשונה לחוק להסדרת הביטחון;"פעולה להגנת סייבר בחומר מחשב" – מתן הוראות למחשב לצורך הגנת סייבר, ובכלל זה סריקה, עיבוד, הסרה של חומר מחשב הנוגע לתקיפת סייבר, או התקנת סוג תוכנה שפעולתה מוגבלת לרשת הספק בלבד, או חסימה או ניתוק של מחשב או יצירת עותק של חומר המחשב;הגדרות1ס"ח התשס"א, עמ' .158 2ס"ח התשנ"ה, עמ' .3663ס"ח התשנ"ח, עמ' .348 4ס"ח התשס"ב, עמ' .179קובץ התקנות ,10921י"ד בכסלו התשפ"ד, 619 27.11.2023"הפעולות הצבאיות המשמעותיות" – הפעולות הצבאיות המשמעותיות שעליהן החליטה ועדת השרים לענייני ביטחון לאומי לפי סעיף 40לחוק־יסוד: הממשלה, והודיעה לגביהן לוועדת החוץ והביטחון של הכנסת ביום כ"ג בתשרי התשפ"ד ( 8באוקטובר ;)2023"צה"ל" – צבא הגנה לישראל; "שב"כ" – שירות הביטחון הכללי;"שירותי אחסון" – שירותי אחסון של מידע שנמסר לשם העלאתו לרשת האינטרנט, שירותי עיבוד ואחסון של נתונים ושירותים לאספקת מידע, תשתית לאחסון או עיבוד נתונים;"שירותים דיגיטליים" – אחד מאלה: ( )1שירותי תוכנה לרבות כתיבה, התאמה, שינוי, בדיקה, תמיכה, מחקר ופיתוח; ( )2שירותי ניהול או הפעלה של מערכות מחשבים המשלבות חומרה, תוכנה וטכנולוגיות תקשורת; ( )3שירותי עיבוד, הזנה או שחזור של נתונים, התקנה והגדרת תצורה של מחשבים, התקנת תוכנה או שירותי הגנת סייבר; ( )4אספקה או התקנה של מחשבים או של ציוד בקרה, המהווים חלק ממכונות וציוד תעשייתי;"תקיפת סייבר" – פעולה או חשש ממשי לפעולה, שנועדה לפגוע שלא כדין בשימוש במחשב או בחומר מחשב השמור בו, לרבות -( )1שיבוש פעולתו התקינה של מחשב או הפרעה לשימוש בו; ( )2מחיקת חומר מחשב, שינויו, שיבושו או הפרעה לשימוש בו;( )3אחסון או הצגה של מידע או פלט כוזב, או שיש בהם כדי להטעות, בהתאם למטרות השימוש בהם; ( )4חדירה לחומר מחשב כהגדרתה בסעיף 4לחוק המחשבים; ( )5האזנת סתר לתקשורת בין מחשבים כמשמעותה בחוק האזנת סתר, התשל"ט-;51979( )6גישה של גורם שאינו מורשה למידע השמור במחשב, ובכלל זה בדרך של פגיעה בתהליך הזדהות, או הוצאתו שלא כדין של מידע על ידי גורם כאמור; ( )7הפרעה או מניעה של חיבור של מחשב לרשת תקשורת;"תקיפת סייבר חמורה" – תקיפת סייבר שמנהל מוסמך מצא כי בשל חשש ממשי להיותה בעלת השפעה משמעותית שאינה מוגבלת לספק הנתקף ולנוכח מאפייניה, לרבות מתאר התקיפה או זהות התוקף, וכן בשל התרחשותה במהלך תקופת הפעולות הצבאיות המשמעותיות, יש חשש ממשי שיש בה כדי לפגוע בביטחון המדינה, בביטחון הציבור או בקיום האספקה והשירותים החיוניים, ובכלל זה תקיפת סייבר שראש חטיבת הגנה בסייבר בצה"ל מצא כי יש בה כדי לפגוע ברציפות התפקוד המבצעי של צה"ל.5ס"ח התשל"ט, עמ' .118620קובץ התקנות ,10921י"ד בכסלו התשפ"ד, 27.11.2023.2התעורר חשש ממשי לתקיפת סייבר חמורה כנגד ספק והודיע עובד מוסמך לספק על קיומו של חשש כאמור, לאחר שהזדהה לפניו, יחולו הוראות אלה: ( )1העובד המוסמך יפרט לפני הספק את התשתית העובדתית והמקצועית לקיומו של חשש כאמור, אם אין בכך כדי לחשוף מקורות מידע, שיטות או אמצעים; ( )2העובד המוסמך ייתן לספק הזדמנות לפעול באופן הולם לצורך איתור התקיפה,מניעתה או בלימתה בפרק זמן סביר שאין בו כדי לפגוע בטיפול בתקיפת הסייבר החמורה, והכול בהתחשב במאפייני תקיפת הסייבר;( )3הספק יעדכן את העובד המוסמך בדבר הפעולות שביצע לצורך איתור התקיפה, מניעתה או בלימתה או ימסור לעובד המוסמך תצהיר בנוסח שבתוספת בדבר אספקת שירותי אחסון או שירותים דיגיטליים ללקוחותיו תוך יישום הנחיות אבטחה בהתאםNIST 800-53 Security and Privacy Controls for Information Systems and לתקן,Organizationsוהכול בתוך פרק זמן סביר כאמור בפסקה (;)2( )4לא מסר הספק תצהיר כאמור בפסקה ( )3ומצא העובד המוסמך כי הספק הנתקף לא פעל באופן הולם לאיתור התקיפה, מניעתה או בלימתה של תקיפת הסייבר החמורה כאמור בפסקה ( ,)2רשאי העובד המוסמך, אם הדבר חיוני לצורך איתור התקיפה, מניעתה או בלימתה, לאחר שהודיע לספק על כוונתו ונתן לו הזדמנות להשמיע את טענותיו, לתת לספק הוראות, בכתב או בעל פה, ובכלל זה הוראות הנוגעות לחומר מחשב שיהיו רק פעולות להגנת סייבר בחומר מחשב, או הוראות למסירת ידיעה או מסמך לידי העובד המוסמך;( )5במתן הוראות לפי פסקה ( ,)4ישקול העובד המוסמך את השפעתן האפשרית על הזכות לפרטיות, על פעילות הספק ועל צד שלישי, לרבות על העלות הכלכלית המוערכת של יישום ההוראה ועל הרציפות התפקודית של הספק; העובד המוסמך יורה לנקוט אמצעי שפגיעתו פחותה לצורך איתור התקיפה, מניעתה או בלימתה; העובד המוסמך יפרט את המועד האחרון לביצוע ההוראה;( )6התקבלה הוראה מעובד מוסמך לפי פסקה ( ,)4יפעל הספק בהתאם לה ועד המועד האחרון שנקבע לביצועה כאמור בפסקה ( ,)5וידווח על אופן ביצועה לעובד המוסמך עד למועד האמור..3עובד מוסמך יתעד בכתב את ההוראות שנתן לספק לפי תקנה 2וימסור לו נוסח כתוב של ההוראות שאינו מכיל מידע מסווג בתוך פרק זמן סביר ממתן ההוראה; לעניין זה, "מידע מסווג" – מידע שסיווגו הביטחוני נקבע בידי מערך הסייבר, שב"כ, צה"ל או מלמ"ב, לפי העניין, כסיווג ברמת 'שמור' ומעלה.( .4א) אדם שקיבל מידע שהתקבל מספק לפי תקנות שעת חירום אלה, ישמור אותו בסוד, לא יגלה אותו לאחר ולא יעשה בו כל שימוש, אלא לצורך איתור תקיפת סייבר חמורה, מניעתה או בלימתה.(ב) מידע שהתקבל מספק במסגרת פעולה לפי תקנות שעת חירום אלה, יימחק בסמוך לאחר סיום הטיפול בתקיפת הסייבר החמורה, למעט מידע שקבע מנהל מוסמך שהוא חיוני לזיהוי מאפייני תקיפת הסייבר; מידע שנקבע לגביו כאמור יישמר בהיקףהמזערי הנדרש. (ג) בתקנת שעת חירום זאת, "מידע" – למעט מידע על התוקף, התקיפה, מאפייני התקיפה או אמצעי הטיפול בה.התמודדות עם תקיפת סייבר חמורהתיעודסודיותקובץ התקנות ,10921י"ד בכסלו התשפ"ד, 621 27.11.2023
| .5 | הפעלת סמכויות כלפי ספק לפי תקנה 2לעניין תקיפה מסוימת תינתן בידי עובד | מוסמך מקרב גוף אחד בלבד. |
| ( א) מערך הסייבר, השב"כ ומלמ"ב ידווחו אחת לשבועיים ליועצת המשפטית | .6 | |
| לממשלה ולוועדת החוץ והביטחון של הכנסת בדבר המקרים שבהם ניתנו הוראות |
לספק בהתאם לתקנה ,)4(2הנימוק למתן ההוראות וסוגן. (ב) דיווח לפי תקנת שעת חירום זאת יהיה חסוי ופרסומו אסור.
| .7 | בתקופת תוקפן של תקנות שעת חירום אלה, יראו כאילו בחוק בתי משפט לעניינים |
| מינהליים, התש"ס- ,62000בתוספת הראשונה, בסופה נאמר: |
(" )65החלטה לפי תקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון,) התשפ"ד-".2023(
| .8 |
| (ב) בלי לגרוע מהאמור בתקנת משנה (א,) תקנות שעת חירום אלה באות להוסיף על |
א) תקנות שעת חירום אלה באות להוסיף על הוראות כל דין אחר ולא לגרוע מהן.כל הוראה בעניין הנוגע להגנת סייבר, לפי החלטת הממשלה או הסכם, ואולם בכלמקרה של סתירה יגברו תקנות שעת חירום אלה. .9תוקפן של תקנות שעת חירום אלה חודש מיום פרסומן.תוספת(תקנה ))3(2NIST 800-53 Security and Privacy Controls for תצהיר ספק על עמידה בתקןInformation Systems and Organizationsאני ,…………………. מס' זהות ,…………………….. נציג חברת ,…………………….. לאחר שהוזהרתי כי עליילומר את האמת וכי אהיה צפוי/ה לעונשים הקבועים בחוק אם לא אעשה כן, מצהיר/ה בזה בכתב כלהלן:.1חברת ……………………. (להלן – החברה) מספקת ללקוחותיה שירותי אחסון או שירותיםדיגיטליים, כהגדרתם בתקנות שעת חירום (חרבות ברזל) (התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון, התשפ"ד- ,2023תוךNIST 800-53 Security and Privacy Controls יישום הנחיות אבטחה בהתאם לתקןבגרסתו העדכנית ותוך ניהול הסיכוניםfor Information Systems and Organizationsהרלוונטיים.
| .2 | הגורם הנושא בתפקיד ……………….. ששמו/ה ………………. מס' זהות ………………….. הוא |
| הגורם המוסמך מטעם החברה לעניין זה. | |
| .3 | הגורם המוסמך מטעם החברה, כאמור בסעיף ,2יעדכן עובד מוסמך אם יחול שינוי |
בנוגע לאמור בתצהיר זה בתוך 7ימים. אני מצהיר/ה כי השם שלעיל הוא שמי, והחתימה שלמטה היא חתימתי, וכי תוכן תצהירי זה אמת………………………………… ………………………………….חתימה תאריךאופן הפעלת סמכויותדיווחתיקון חוק בתי משפט לעניינים מינהלייםשמירת דיניםתוקף6ס"ח התש"ס, עמ' .190622קובץ התקנות ,10921י"ד בכסלו התשפ"ד, 27.11.2023אישוראני, ,………………………. עו"ד מרחוב …………………….. בעיר …………………………… מאשר/ת בזה כיביום ………………………… הופיע/ה לפניי מר/גב' ………………………… המוכר/ת לי באופן אישי/שהזדהה/תה לפניי באמצעות תעודת זהות מס' ,…………………………….. ולאחר שהזהרתיו/ה כיעליו/ה לומר את האמת וכי י/תהיה צפוי/ה לעונשים הקבועים בחוק אם לא י/תעשה כן, אישר/ה את ההצהרה שלעיל וחתם/מה עליה בפניי………………………………… ………………………………….חתימה חותמתי"ד בכסלו התשפ"ד ( 27בנובמבר )2023)3-6618 (חמבנימין נתניהו ראש הממשלההמחיר 3.24שקלים חדשים ISSN 0334-7014סודר במח' רשומות, משרד המשפטים, והודפס במדפיס הממשלתי