נוף הרגולציה הישראלי בסייבר ובפרטיות השתנה מהיסוד ב-2025. עם כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף, סמכויות אכיפה חזקות יותר, והתפקיד המרכזי של מערך הסייבר הלאומי (INCD), כל ארגון המחזיק במידע אישי – ולו רק רשומות עובדים – נושא כעת בחובות אכיפות. מדריך זה ממפה את המסגרת שעסקים ישראליים חייבים לנווט בה.
חוק הגנת הפרטיות ותיקון 13
חוק הגנת הפרטיות, במקור מ-1981, הוא עמוד השדרה של הגנת המידע בישראל. תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, הוא הרפורמה המשמעותית ביותר זה עשורים. הוא מרחיב את הגדרת "מידע בעל רגישות מיוחדת", מחייב מינוי ממונה הגנת פרטיות (DPO) במקרים מוגדרים, מהדק כללי הסכמה ושקיפות, ומרחיב דרמטית את סמכות הרשות להגנת הפרטיות (PPA) לחקור ולהטיל קנסות – כשיחידים יכולים לתבוע ללא הוכחת נזק.
תקנות אבטחת המידע
תקנות אבטחת המידע (2017) נותרות מוקד אכיפה מרכזי. הן מסווגות מאגרים לרמות אבטחה בסיסית, בינונית וגבוהה, כל אחת עם דרישות מחמירות בבקרת גישה, שמירת לוגים, סקרי סיכונים וטיפול באירועים. ארגונים רבים מופתעים לגלות שמאגרי כוח האדם או הלקוחות שלהם ברמה גבוהה מהמשוער.
מערך הסייבר והרגולטורים הסקטוריאליים
ה-INCD קובע מתודולוגיית הגנת סייבר לאומית, מוציא התראות איום ומצפה יותר ויותר לדיווח אירועים בזמן. רגולטורים סקטוריאליים – בבנקאות, בריאות ותשתיות קריטיות – מוסיפים דרישות. לארגונים המטפלים במידע ממקור האיחוד האירופי, תקנות העברת הנתונים (2023) מוסיפות חובות, בגיבוי מעמד ה-Adequacy של ישראל.
מי מושפע, ומה לעשות
- כל ארגון המחזיק מידע אישי נמצא בהיקף, גם אם מדובר רק במידע עובדים.
- מפו את המידע, סווגו את המאגרים לפי רמת אבטחה וסגרו פערים מול תקנות אבטחת המידע.
- מנו DPO היכן שנדרש ותדרכו את הדירקטוריון, הנושא כעת באחריות מתועדת.
Persist Security מסייעת לארגונים ישראליים לעמוד בחובות אלה דרך ייעוץ GRC וציות ושירות vCISO המספק את מנהיגות האבטחה שהרגולציה מניחה, בגיבוי SOC מנוהל לניטור ודיווח. צרו קשר להערכת פערים רגולטורית.
