הצעת חוק אבטחת סייבר וחוסן: מה שאתם צריכים לדעת

מאת פיל מונקסטר • 22 מאי 2025

הדרך לחוסן סייבר עבור תשתיות קריטיות בבריטניה (CNI) הייתה ארוכה ומפותלת. תקנות ה-NIS של הממשלה משנת 2018 מיושנות להחריד ומוגבלות בהן – הן מבוססות על הנחיית האיחוד האירופי מלפני שנתיים. אך לאחר כמה רעשים חיוביים, מאמצי הממשל הקודם עלו בתוהו. לכן, משמח שממשלת הלייבור סוף סוף מעניקה לנושא את תשומת הלב הראויה לו.

אחרי חודשים של המתנה לפרטים נוספים בעקבות נאום המלךכעת יש לנו הצהרת מדיניות ממשלתית לנתח. אז מה ירצה חוק אבטחת הסייבר והחוסן להשיג? וכמה מאתגר יהיה לחברות לעמוד בדרישות?

למה אנחנו צריכים את זה

בריטניה שונה מאוד מזו שבה תקנות ה-NIS משנת 2018 נכנסו לחוק. ה-CNI, החברה וחברת ה-PRC של בריטניה תלויות יותר מתמיד במערכות IT ודיגיטליות. ברוב הארגונים, משמעות הדבר הייתה השקעות שהגדילו את גודל משטח מתקפות הסייבר, מה שהעניק לגורמי האיום יתרון. הרקע הגיאופוליטי הפך את התקפות מצד שלישי, המקושרות למדינות אך ניתנות להכחשה באופן סביר, לסבירה יותר. והוא עודד מדינות לאום לבצע התקפות משלהן.

כאילו שמישהו היה צריך תזכורת להשפעה הפוטנציאלית של פרצות חמורות על מגזרי CNI, רק זכרו את הכאוס ש... מתקפת כופר של סיננוביס שנגרמה בשנה שעברה – מה שהוביל לאלפי ביטולי תורים ומחסור קריטי בדם בדרום-מזרח אנגליה. זוהי גם תזכורת לכך ששרשראות אספקה הן מטרה פגיעה יותר ויותר להתקפות כאלה. לעתים קרובות מדי, אתגרי מיומנויות ומשאבים פוגעים קשות בארגונים קטנים יותר אלה. ובזמן שהם מתקשים, גורמי האיום נמצאים שימוש בבינה מלאכותית כדי לעשות יותר עם פחות, האצת התקפות ושיפור התוצאות.

העובדה שמחצית מהחברות בבריטניה גנזו תוכניות לטרנספורמציה דיגיטלית בשל החשש ממתקפות מצד מדינות לאומיות, שיפור החוסן הקיברנטי הופך גם הוא לציווי עסקי. אז מה יהיה ברשימת המטלות שלהם כאשר הצעת החוק תהפוך סוף סוף לחוק?

מה כתוב בהצעת החוק?

למרות שייתכן שעדיין יוכנסו שינויים ככל שהחקיקה תתקדם בפרלמנט, כפי שהיא עומדת כעת, מטרתה:

צור עוד ישויות בטווח

הממשלה תעשה את הפעולות הבאות:

יש לכלול ספקי שירותים מנוהלים (MSPs) בהיקף ההוראות החדשות, לפי הערכות של כ-900-1100 חברות אלה.
כולל מפעילי מרכזי נתונים: כ-182 אתרי קולוקציה ו-64 מפעילים, בנוסף למספר קטן של מרכזי נתונים ארגוניים (עם קיבולת מעל 10 מגה-וואט)
לאפשר לממשלה ולרגולטורים לקבוע דרישות מחמירות יותר עבור מפעילי שירותים חיוניים (OES) מסוימים בעלי חשיבות קריטית/השפעה גבוהה, גם אם הם עסקים זעירים (אלא אם כן הם כפופים לחוקי חוסן סייבר קיימים).

העצמת הרגולטורים ושיפור הפיקוח

הממשלה תעשה את הפעולות הבאות:

להבהיר את "דרישות האבטחה הטכניות והמתודולוגיות" הנדרשות מארגונים הנמצאים תחת הכותרת - תוך התאמה קרובה יותר ל-NIS 2 ולמסגרת הערכת הסייבר (CAF) של NCSC.
להרחיב את דיווח התגובה לאירועים כך שיכלול כל אירוע ש"משפיע באופן משמעותי על הסודיות, הזמינות והשלמות של מערכת" - כולל פריצת נתונים, התקפות ריגול ותוכנות כופר. חברות יצטרכו לדווח לרגולטור שלהן ול-NCSC. דרישות ההודעה יהיו "לא מכבידות יותר מ-2 ש"ח": 24 שעות בתחילה ולאחר מכן דיווח על אירוע תוך 72 שעות.
להעניק לשר הטכנולוגיה סמכות לחייב גוף מוסדר לנקוט בפעולות ספציפיות כאשר הדבר ייחשב הכרחי לביטחון הלאומי.
לשפר את סמכויות איסוף המידע של ICO כדי שיוכלו לזהות את ספקי השירותים הדיגיטליים הקריטיים ביותר ולהעריך באופן יזום את מצב אבטחת הסייבר שלהם.
לאפשר לרגולטורים לקבוע משטר עמלות, לגבות עלויות, או לשלב את השניים כדי לכסות הוצאות אכיפה ועלויות רגולטוריות אחרות.

יצירת סמכויות שהועברו

הממשלה התחייבה גם להבטיח שהחוק יהיה גמיש: מתן סמכויות חדשות לשר הטכנולוגיה לעדכן את החקיקה כדי להבטיח שהיא "עדכנית ויעילה".

שאלות שנותרו לענות עליהן

CSBR, מומחית לחוסן עסקי ללא מטרות רווח, מברכת על הצעת החוק, אך דורש בהירות על סדרה של שאלות, החל מהתאמת NIS 2 ועד סמכויות ICO.

"האתגר הוא להבטיח שחיפוש רגולציה טובה יותר לחוסן אבטחת סייבר לא יגרום להשפעה הלא מכוונת של חנק חדשנות ויצירת מכשולים מכבידים או בירוקרטיים, במיוחד עבור עסקים קטנים ובינוניים", נכתב. "יש גם צורך שהממשלה תכיר בכך שהממשלה עצמה היא לעתים קרובות החלק הפגיע ביותר במערכת, כפי שהבהיר דו"ח ה-NAO האחרון בדו"ח האחרון שלו."

אוסקר טאנג, שותף בכיר בקבוצת הטכנולוגיה של קליפורד צ'אנס, מסכים כי שאלות רבות נותרו פתוחות בשלב זה, כולל הבסיס ל"דרישות האבטחה הטכניות והמתודולוגיות" שהחוק החדש שואף להבהיר עבור ארגונים הנמצאים תחת תחום החקיקה.

"ייתכן שנראה גישה רב-שכבתית המתייחסת ל-CAF כמדד מרכזי בבריטניה, לצד ISO והנחיות אחרות, כדי להבטיח עקביות בפועל", הוא אומר ל-ISMS.online. "כוונת המדיניות של הממשלה מציינת את החשיבות של גישה פרופורציונלית וזריזה לאבטחה, כך שסביר להניח שארגונים לא יידרשו להמציא את הגלגל מחדש. מינוף מסגרות קיימות כמו ISO 27001 אמור לסייע בהדגמת ניהול סיכונים ובקרות אבטחה חזקות."

וויל ריצ'מונד-קוגן, שותף במשרד Freeths LLP המתמחה בליטיגציה של אבטחת נתונים וסייבר, מציין גם הוא תקני ISO כבעלי פוטנציאל להניח את היסודות למצופה בחוק הבריטי החדש.

"למרות שהממשלה מאחרת בגיבוש חקיקה שתשקף את ההתפתחויות באירופה סביב אבטחת הסייבר המוטמעת בהנחיית NIS 2, יש לכך כמה יתרונות", הוא אומר ל-ISMS.online.

"מספר תקני אבטחת מידע קיימים כבר משקפים את המיקוד המשתנה תחת NIS 2: לדוגמה, ISO 27001:2022 ו-ISO 27302, המספקים המלצות ספציפיות לחיזוק חוסן הסייבר של ארגון. סביר להניח שאלה יתמכו גם בתאימות לחוק אבטחת הסייבר והחוסן כאשר הוא ייכנס לתוקף, ועבור אותם ארגונים שכבר פועלים באירופה ועומדים ב-NIS 2, סביר להניח שהקבלות בין החקיקה יהיו מועילות."

עם זאת, כדי להגיע לנקודה של חוסן סייבר אמיתי, ארגונים חייבים להטמיע את מה שהם לומדים על ידי עבודה באמצעות תקן ISO 27001 ותקנים אחרים "בליבה התפעולית של העסקים" - דבר שידרוש "תרבות של תאימות", מוסיפה ריצ'מונד-קוגן.

"למעשה, החקיקה כבר תהיה מיושנת ביחס לחלק מהסיכונים שהיא נועדה לטפל בהם, עד שתיכנס לתוקף", הוא מסכם.

"עסקים צריכים להשתמש בזה כקריאת השכמה כדי לבחון את מצב האבטחה מקצה לקצה שלהם, את החוסן ואת תכנון המשכיות העסקית שלהם אם ברצונם להיות מוכנים באמת לסיכונים שהממשלה מגיבה אליהם עם חקיקה זו ויוזמות הסייבר הרחבות יותר שלה."

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.