בתחילת 2026 פרסם משרד המשפטים יחד עם מערך הסייבר הלאומי (INCD) טיוטת חוק הגנת הסייבר הלאומי, התשפ"ו-2026. מדובר בחקיקה ראשונה מסוגה בישראל שתעגן בחוק את סמכויות INCD, תקבע חובות דיווח על תקריות סייבר, ותחיל אכיפה גם על המגזר העסקי הפרטי - כולל קבלני ביטחון. עד היום, ההגנה התבססה על פיקוח רגולטורי ענפי וחוזרים ללא תוקף חוק.[1][2]

הטיוטה משלימה תהליך שמתחיל ב-2018 (החלטת ממשלה 4136 הקימה את INCD) ועובר ב-2023 (תזכיר חוק ראשון), כאשר התרחישים בארץ ובחו"ל (Cyber Toufan על מאיה, NotPetya, התקיפות על Unitronics) הוכיחו את הצורך באסדרה משפטית. הניתוח הזה מציג מה זה אומר לקבלן ביטחוני, מה נמצא בטיוטה, ומה הקבלן יכול לעשות כבר עכשיו לפני שהחקיקה מסתיימת.

72
שעות חובת דיווח על תקרית - לפי הטיוטה
5%
קנס מקסימלי - אחוז מהכנסה שנתית (NIS2-style)
2027+
תחילת תוקף צפוי - לאחר חקיקה ב-2026

שלוש שכבות אכיפה בטיוטה

הטיוטה מבחינה בין שלוש קטגוריות של גופים: גופים חיוניים (תשתיות לאומיות, מים, חשמל, בריאות), גופים בעלי חשיבות לאומית (כולל קבלני ביטחון, פיננסים, ארגוני מדינה גדולים), וגופים כלליים. רמת הדרישה והאכיפה משתנה לפי הקטגוריה:

🔴

גופים חיוניים (Category A)

מערך הסייבר מקבל סמכויות פיקוח רחבות: חיוב יישום מסגרת ההגנה הלאומית, סקירות חובה תקופתיות, חובת דיווח על תקרית בתוך 24 שעות. INCD רשאי לבצע בדיקות ולהורות על תיקון. קנסות עד 5% מהמחזור או 25M ₪ (הגבוה מבין השניים).

🟠

גופים בעלי חשיבות לאומית (Category B) - כולל קבלן ביטחוני גדול

חובת רישום ב-INCD, יישום בסיסי של מסגרת הגנה לאומית (תואם רב מגן 2), דיווח על תקריות בתוך 72 שעות, וחובת שיתוף פעולה בחקירת תקריות. INCD יכול לדרוש סקירה אך לא בודק ישירות. קנסות עד 2.5% מהמחזור או 10M ₪.

🟢

גופים כלליים (Category C) - SMBs ושירותים

חובת דיווח על תקרית "משמעותית" (מוגדרת בתקנות) בתוך 96 שעות. אין דרישה לרישום מקדים או למסגרת הגנה מנדטורית. הסמכות העיקרית של INCD היא לפרסם אזהרות והנחיות, לא לכפות.

למה הקבלן הביטחוני יושפע בפועל גם אם הוא לא Category B

גם קבלן קטן שלא נכנס ל-Category B מקבל בעקיפין השפעה דרך שלושה מנגנונים שטיוטת החוק יוצרת:

🔴 Flowdown חוזי מהקבלן הראשי

Prime contractor שמסווג כ-Category A או B יחויב להראות שיתוף פעולה עם הספקים שלו. בפועל - הוא יחייב את הספקים בסעיפים חוזיים: "ספק יישם את מסגרת הגנת INCD ויודיע על תקריות תוך 24 שעות". זה אומר שגם קבלן Category C יקבל את אותה דרישה דרך החוזה - בלי אפשרות לסרב.

🟠 חובת דיווח על תקרית = חשיפת ספקים אחרים

בדיווח על תקרית, החוק דורש "פירוט מקור החדירה, אם ידוע". אם הקבלן יודע שהחדירה הייתה דרך ספק - הוא חייב לציין זאת. INCD יחקור את הספק. ספק שיחזר על תקרית - ייכנס למאגר ספקים בסיכון, וקבלנים אחרים יראו זאת. הספק נחשף בלי שעבר עליו תהליך נפרד - לכן ל-INCD לא צריך לחקור את כל קבלני המשנה ישירות.

🔴 אחריות פלילית-אישית של נושאי משרה

הטיוטה כוללת סעיף שמאפשר לרשויות לפעול נגד מנכ"ל / קצין ביטחון מידע ספציפי שהזניח את החובה. זה הולך מעבר לקנסות תאגידיים - יש חשיפה אישית להפרה. בעוד שמדינות EU עברו לזה ב-NIS2 כבר (Article 32), בישראל זה חידוש שיגביר את הלחץ על דירקטוריון לאשר תקציבי סייבר.[3]

4 שכבות היערכות לפני חקיקה סופית

הטיוטה ב-2026 תעבור הליכי חקיקה (קריאה ראשונה, ועדה, קריאות שניה ושלישית) - סביר שכניסה לתוקף סופית תהיה לא לפני 2027-2028. אבל המתנה היא לא אסטרטגיה. ארגון ביטחוני יכול להתחיל ביישום מעשי במסגרת תהליך טבעי של חיזוק הגנה:

01
מיפוי קטגוריה צפויה ופערים מ-מסגרת ההגנה הלאומית
בדוק האם הארגון נכנס ל-Category A/B/C לפי קריטריונים בטיוטה (מספר עובדים, מחזור, סיווג ביטחוני). השווה את מצב הסייבר הנוכחי למסגרת INCD (10 תחומים, 44 בקרות) ולמסמך התקנה שעלה ב-gov.il.
02
בניית מסגרת תגובה לתקריות עם SLA של 24-72 שעות
נוהל IR (Incident Response) שמגדיר זרמי מידע, אחראים, ערוצי תקשורת עם INCD ועם מערך הסייבר. תרגיל cyber drill שנתי שמוודא שהארגון עומד ב-SLA. רוב הארגונים לא יכולים לדווח ב-72 שעות בלי תהליך מוכן.
03
סעיפי flowdown בחוזים מול ספקים
לפני שהקבלן הראשי דורש זאת - הקדם והוסף סעיפים מתאימים בחוזי ספק חדש: דיווח על תקריות, יישום מסגרת INCD, זכות audit, הגדרת סוגי תקריות. כל חוזה חדש עובר בנוהל זה.
04
מינוי קצין הגנת סייבר עם מנדט מספיק
הטיוטה דורשת קצין מוסמך עם דיווח ישיר למנכ"ל. בארגון בינוני זה לעתים תפקיד חדש שלא קיים. הזמן להגדרה והבאת אדם מתאים הוא 6-12 חודשים. השוק הצר מקפיץ משכורות - לתחילת תהליך עכשיו יש יתרון.
05
השוואה ל-NIS2 (EU) ול-CMMC (US) למיצוב בשרשרת בינלאומית
קבלן שעובד עם prime ארה"ב או EU כבר ידע להראות תאימות ל-NIS2 (אם EU) או CMMC (אם US). מסגרת INCD חופפת ב-70-80% עם NIS2; הוספת בקרות חסרות תקבל פטור כפול. הקדם השוואה כדי לא לעבוד פעמיים.[4]

צ'קליסט מעשי לקבלן ביטחוני - מה ניתן לבצע ברבעון הקרוב

השורה התחתונה

חוק הגנת הסייבר הלאומי 2026 הוא הצעד הגדול הראשון של ישראל לעיגון משפטי של סייבר ארגוני - גם בסקטור הביטחוני. הוא מקנה ל-INCD סמכויות פיקוח, יוצר חובות דיווח, ומחיל קנסות בסגנון NIS2 (אחוז מהכנסה). קבלן ביטחוני שמחכה לחקיקה הסופית יגלה שהדרישות כבר מתבטאות בחוזי ה-Prime שלו - חודשים לפני שהחוק נכנס לתוקף.

ההיערכות הנכונה היא לא לעבור לחקיקה - אלא לעבור למסגרת שמתאימה בכל מקרה: NIS2 (EU), CMMC (US), ומסגרת ההגנה הלאומית של INCD. KPLNS מבצעת gap assessment משולשת שמראה למנכ"ל בדיוק את הפערים מהמסגרת הצפויה - לפני שהדרישה תופיע בסעיף הראשון של החוזה הבא.

מקורות

  1. Barnea Jaffa Lande — Israel Publishes National Cybersecurity Draft Bill 2026: New Obligations, Enforcement Authorities and Broad Implications
  2. מערך הסייבר הלאומי (INCD) - אתר רשמי
  3. European Commission — NIS 2 Directive (2022/2555)
  4. מערך הסייבר — מתודולוגיית הגנת סייבר לארגון
  5. Jerusalem Post — Israel's Cyber Chief on the AI-Cyber Period
  6. החלטת ממשלה 4136 - מערך הסייבר הלאומי (2018)
  7. מערך הסייבר — מסמך עקרונות מסגרת ההגנה 2.0
  8. gov.il — רגולציית סייבר