דף הבית/רגולציית סייבר

חוקים ורגולציות | ישראל, EU, ארה"ב

רגולציית סייבר
ישראל, EU ובינלאומי

ליווי מקצועי לעמידה ברגולציות הסייבר הישראליות והבינלאומיות | תיקון 13, GDPR, EU AI Act, NIS2, HIPAA, PCI DSS ועוד. הצוות שלנו כולל עורכי דין ויועצי סייבר בכירים עם ניסיון מול רגולטורים בישראל, אירופה וארה"ב.

058-759-0000 | ייעוץ חינם השאירו פרטים

15+

רגולציות שאנחנו עובדים איתן

יבשות | ישראל, EU, ארה"ב

72h

חלון דיווח הפרה לפי תיקון 13

€20M

עונש מקסימום GDPR

רגולציות ישראליות

הרגולציות הישראליות העיקריות שעסקים צריכים להכיר | לפי סקטור

כל הסקטורים

רשות סייבר לאומית | הנחיות INCD

הנחיות הרשות הלאומית להגנת הסייבר | כולל מסגרת הגנה, חובות דיווח, ועקרונות Zero Trust.

בנקים וחברות כרטיסי אשראי

הוראת ניהול בנקאי תקין 361 | גופים בנקאיים

הוראה 361 קובעת דרישות נרחבות לניהול סיכוני סייבר בגופי הבנקאות.

ביטוח, קופות גמל, קרנות

ממונה על שוק ההון, ביטוח וחיסכון

חוזרים על ניהול סיכוני סייבר לגופים פיננסיים, פנסיה וביטוח.

בריאות ורפואה

משרד הבריאות | נוהל אבטחת מידע

נוהל אבטחת מידע למערכות מידע של מוסדות בריאות בישראל.

כל הסקטורים

תיקון 13 לחוק הגנת הפרטיות

עדכון מקיף לחוק הגנת הפרטיות | זכויות נשואי מידע, אבטחה, דיווח הפרות, DPO חובה.

MedTech

תקן ISO 27799

תקן ISO לאבטחת מידע בסקטור הבריאות | נגזרת של ISO 27001.

שוק ההון

רשות ניירות ערך | הנחיות סייבר

חברות ציבוריות חייבות לדווח על אירועי סייבר מהותיים לרשות ניירות ערך ולציין סיכוני סייבר בדוחות.

תעשיית הרכב ו-Mobility

הרגולציה הישראלית לרכב מחובר

דרישות אבטחת סייבר לרכב מחובר ואוטונומי בהתאם ל-UNECE WP.29 ו-ISO 21434.

חקיקה ישראלית | הבסיס החוקי

החוקים הישראליים הבסיסיים בתחום הסייבר, אבטחת מידע והגנת הפרטיות

חוק המחשבים, תשנ"ה - 1995

תאונות מחשב, חדירה למחשב ללא רשות, הפרעה למחשב | עוגמת נפש ועד מאסר 5 שנים.

חוק הגנת הפרטיות, תשמ"א - 1981

מסווג מאגרי מידע ל-3 רמות ביטחון: בסיסי, בינוני, גבוה. חובת רישום מאגר מידע ברשם מאגרי מידע.

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז - 2017

נכנסו לתוקף 8 במאי 2018. מגדירות רמות אבטחה: בסיסי / בינוני / גבוה לפי רגישות המידע.

תיקון 13 לחוק הגנת הפרטיות (2023)

חיזוק זכויות נושאי מידע, קנסות מוגדלים עד 8% ממחזור, DPO חובה לגופים גדולים, דיווח הפרה תוך 72 שעות.

קנסות מנהליים | תקנות העבירות המנהליות

קנס עד 25,000 ₪ על הפרת חובות אבטחת מידע. אחריות פלילית אישית למנהלים.

חוק התקשורת (בזק ושידורים) | דיוור ישיר

זכות לבקש הסרה, מחיקה ולברר מקורות המידע עליך. איסור spam ושיווק ללא הסכמה.

חוק הגנת הפרטיות | תיקון לטכנולוגיות AI (עתידי)

ישראל נמצאת בתהליך חקיקה שיסדיר שימוש ב-AI, פרופיילינג אוטומטי וקבלת החלטות ללא מעורבות אנושית.

תקנות מאגרי מידע | רישום ורמות

כל מאגר מידע מעל 10,000 רשומות, או שמחזיק מידע רגיש, חייב ברישום ברשם מאגרי המידע.

רגולציות בינלאומיות

רגולציות שעלולות לחול על ארגונים ישראליים עם לקוחות בחו"ל | EU, ארה"ב ובינלאומי

GDPR

(האיחוד האירופי)

רגולציית הגנת הפרטיות | חלה על ישראלים שמשרתים לקוחות EU. ישראל מוכרת כ-Adequacy Decision.

NIS2

(האיחוד האירופי)

רגולציית אבטחת הסייבר האירופית | חלה על ספקי שירותים חיוניים ומפעילי תשתיות קריטיות.

DORA

(האיחוד האירופי)

Digital Operational Resilience Act | לגופים פיננסיים ב-EU, כולל דרישות BCP וניהול ספקי IT.

EU AI Act

(האיחוד האירופי)

הרגולציה הראשונה בעולם לבינה מלאכותית | מסווגת מערכות AI לפי רמת סיכון ומחייבת ממשל AI.

NIST CSF 2.0

(ארה"ב)

מסגרת הסייבר של NIST | מדריך מוביל לניהול סיכוני סייבר, גרסה 2.0 כוללת ממשל (Govern).

SOC 2 Type II

(ארה"ב)

תקן אמון מבוסס AICPA | לקוחות B2B אמריקאים דורשים אותו כדי לאשרר שיתוף פעולה.

PCI DSS v4.0

(בינלאומי)

תקן אבטחה לכרטיסי אשראי גרסה 4.0 | לכל ארגון שמעבד, מאחסן או מעביר נתוני תשלומים.

HIPAA

(ארה"ב)

חוק פרטיות ואבטחה רפואית | לחברות עם לקוחות אמריקאים בתחום הבריאות. כולל HITECH.

CCPA / CPRA

(קליפורניה, ארה"ב)

חוק הגנת הצרכן הקליפורני | מעניק לצרכנים זכות גישה, מחיקה ואי-מכירת מידע.

ISO 42001

(בינלאומי)

תקן AIMS | ממשל בינה מלאכותית. מיושר עם EU AI Act ומאפשר הוכחת אחריות AI לשוק הגלובלי.

ISO 27701 (PIMS)

(בינלאומי)

Privacy Information Management System | הרחבת ISO 27001 לניהול פרטיות. תואם GDPR ותיקון 13.

CMMC 2.0

(ארה"ב | ביטחוני)

Cybersecurity Maturity Model Certification | חובה לספקים של מחלקת ההגנה האמריקאית (DoD).

חדש | EU AI Act בתוקף

EU AI Act | ממשל בינה מלאכותית

ה-EU AI Act, שנכנס לתוקף בשנת 2024, הוא הרגולציה הראשונה בעולם שמסדירה פיתוח ושימוש בבינה מלאכותית. הוא משפיע על כל חברה ישראלית שמשרתת לקוחות אירופאים או שמוכרת מוצרי AI לשוק ה-EU.

Unacceptable Risk

AI שמניפולציה פסיכולוגית, ציונים חברתיים (Social Scoring) | אסורים לחלוטין.

High Risk

HR, אשראי, מערכות ביומטריות, תשתיות קריטיות | תיעוד מקיף, הערכת סיכון, רישום.

Limited Risk

צ'אטבוטים, Deepfakes | חובת שקיפות ומתן הודעה לגולש.

Minimal Risk

AI לסינון spam, סיווג תוכן | ללא חובות מיוחדות.

מה SYBER מספקת ל-EU AI Act

מיפוי מערכות AI בארגון ולסיווג לפי רמת סיכון
כתיבת מדיניות AI (AI Policy) מקיפה
הכנת Technical Documentation למערכות High-Risk
הקמת תהליך AI Risk Assessment שוטף
הכנת Conformity Assessment לפני עלייה לאוויר
ייעוץ לגבי חבות מוצר וביטוח AI
ISO 42001 | תקן AIMS מיושר עם EU AI Act
הכשרות AI Governance לצוות ניהול

ISO 42001

הגישה שלנו | מיפוי ועמידה

מיפוי רגולטורי

זיהוי אילו רגולציות חלות על הארגון שלכם, לפי סקטור, גודל ושווקים.

הערכת פערים (Gap Analysis)

מה קיים, מה חסר, ומה הסיכונים הגבוהים ביותר | בכל רגולציה שחלה.

תוכנית עבודה

בניית רודמאפ מפורט לסגירת הפערים, עם סדרי עדיפויות ולוחות זמנים ריאליים.

יישום ומעקב

ליווי בהטמעה, כתיבת נהלים, הדרכות ועמידה בדד-ליינים רגולטוריים.

ייצוג מול רגולטורים

במידת הצורך | ייצוג הארגון מול רשות הפרטיות, INCD, הרגולטורים הפיננסיים ורגולטורים אירופאים.

האם הארגון שלכם בסיכון?

ארגונים רבים אינם מודעים לרגולציות שחלות עליהם | עד שמגיעה ביקורת, קנס, או אירוע פרטיות. שיחת ייעוץ ראשונית ללא עלות תעזור לכם להבין מה חל עליכם ומה דחוף לטפל בו.

מפרים GDPR מבלי לדעת?
עומדים בדרישות תיקון 13?
יש לכם נוהל Data Breach מוכן?
מדיניות AI מעודכנת לפי EU AI Act?
האם מדיניות הפרטיות שלכם מעודכנת?
ספקי ענן שלכם עומדים בדרישות?

ייעוץ ראשוני חינם

שאלות נפוצות | רגולציית סייבר

איזה ארגונים חייבים להגיש דוח סייבר לרשות הלאומית?

לפי הנחיות הרשות הלאומית לסייבר (INCD), ארגונים בתשתיות קריטיות (אנרגיה, מים, בריאות, פיננסים, תחבורה ועוד) חייבים לדווח על אירועי סייבר משמעותיים. בנוסף, יש רגולציות ספציפיות לגופים מפוקחים: ממונה שוק ההון, רשות ניירות ערך, הרגולטורים הפיננסיים ועוד.

האם GDPR חל על חברות ישראליות?

מה זה EU AI Act ואיך הוא משפיע על חברות ישראליות?

ה-EU AI Act הוא הרגולציה הראשונה בעולם שמסדירה שימוש בבינה מלאכותית לפי רמת סיכון: High-Risk AI (מערכות HR, אשראי, רפואה) מחויב בתיעוד מקיף, בדיקות, ורישום. Limited/Minimal Risk | דרישות קלות יותר. חברות ישראליות שמשרתות לקוחות EU או שמוכרות מוצרי AI לאירופה | חייבות לעמוד ב-EU AI Act. הצוות שלנו ב-SYBER מסייע בהכנת מדיניות AI, מיפוי מערכות ועמידה בדרישות.

מה ההבדל בין ISO 27001 לדרישות רגולטוריות?

ISO 27001 היא תקן וולונטרי (לרוב | לא תמיד) שמוכיח לשוק שהארגון מנהל אבטחת מידע ברמה מקצועית. רגולציות (GDPR, ממונה שוק ההון, INCD) הן חובה חוקית שהמדינה והרגולטור אוכפים. בפועל, עמידה ב-ISO 27001 מסייעת מאוד לעמידה ברגולציות ומקצרת את תהליך ה-compliance.

מה קורה אם חברה לא עומדת ברגולציה?

הסנקציות תלויות ברגולציה: קנסות GDPR יכולים להגיע עד €20M או 4% ממחזור שנתי גלובלי; הפרת הוראות הרגולטורים הפיננסיים עלולה לגרור אכיפה רגולטורית; הפרת תיקון 13 כוללת קנסות אדמיניסטרטיביים ואחריות פלילית אישית; קנסות PCI DSS יכולים לגרום לאיבוד יכולת סליקה. מעבר לסנקציות, יש נזקי מוניטין חמורים ואיבוד לקוחות.

מה זה HIPAA ומתי חברה ישראלית צריכה לעמוד בו?

HIPAA (Health Insurance Portability and Accountability Act) הוא חוק אמריקאי שמגן על מידע רפואי (PHI - Protected Health Information). חברות ישראליות צריכות לעמוד ב-HIPAA אם הן: (1) מספקות שירותי DigitalHealth/MedTech ללקוחות אמריקאים, (2) מפתחות תוכנה לבתי חולים אמריקאים, (3) מחזיקות מידע רפואי של אזרחים אמריקאים. SYBER מספקת הדרכות HIPAA לארגוני MedTech ובריאות דיגיטלי.

כיצד SYBER עוזרת לעמוד ברגולציה?

הצוות שלנו מבצע מיפוי רגולטורי מלא | מזהה אילו רגולציות חלות על הארגון לפי סקטור, גודל ושווקים. הרקע המשפטי של עו"ד אריאל לילייב מאפשר פרשנות מדויקת של הדרישות, כתיבת נהלים מחייבים וייצוג מול רגולטורים. הצוות שלנו ריהל תהליכי compliance לארגונים מישראל, ארה"ב ואירופה.

מה ההבדל בין GDPR ל-תיקון 13 לחוק הגנת הפרטיות?

שניהם מגנים על פרטיות, אך תיקון 13 הוא הדין הישראלי ו-GDPR הוא האירופי. נקודות חשובות: (1) תיקון 13 מחייב דיווח הפרת מידע תוך 72 שעות; (2) GDPR מחייב DPO בגופים מסוימים | תיקון 13 גם הוא. (3) שניהם מעניקים לנושא המידע זכות מחיקה ("הזכות להישכח"). (4) קנסות GDPR גבוהים יותר (עד 4% ממחזור גלובלי). ארגון ישראלי עם לקוחות EU חייב לעמוד בשניהם.

ראו גם:

CISO as a Service ISO 27001 / SOC 2 / ISO 42001 DPO / GDPR / תיקון 13 GRC והדרכות מילון מונחי סייבר

מאמר

תיקון 13 לחוק הגנת הפרטיות: כל מה שארגונים חייבים לדעת

מאמר

DPO as a Service: ממונה הגנת פרטיות חיצוני - מדריך מלא

רגולציית סייברישראל, EU ובינלאומי

רגולציות ישראליות

רשות סייבר לאומית | הנחיות INCD

הוראת ניהול בנקאי תקין 361 | גופים בנקאיים

ממונה על שוק ההון, ביטוח וחיסכון

משרד הבריאות | נוהל אבטחת מידע

תיקון 13 לחוק הגנת הפרטיות

תקן ISO 27799

רשות ניירות ערך | הנחיות סייבר

הרגולציה הישראלית לרכב מחובר

חקיקה ישראלית | הבסיס החוקי

חוק המחשבים, תשנ"ה - 1995

חוק הגנת הפרטיות, תשמ"א - 1981

תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז - 2017

תיקון 13 לחוק הגנת הפרטיות (2023)

קנסות מנהליים | תקנות העבירות המנהליות

חוק התקשורת (בזק ושידורים) | דיוור ישיר

חוק הגנת הפרטיות | תיקון לטכנולוגיות AI (עתידי)

תקנות מאגרי מידע | רישום ורמות

רגולציות בינלאומיות

GDPR

NIS2

DORA

EU AI Act

NIST CSF 2.0

SOC 2 Type II

PCI DSS v4.0

HIPAA

CCPA / CPRA

ISO 42001

ISO 27701 (PIMS)

CMMC 2.0

EU AI Act | ממשל בינה מלאכותית

מה SYBER מספקת ל-EU AI Act

הגישה שלנו | מיפוי ועמידה

מיפוי רגולטורי

הערכת פערים (Gap Analysis)

תוכנית עבודה

יישום ומעקב

ייצוג מול רגולטורים

האם הארגון שלכם בסיכון?

שאלות נפוצות | רגולציית סייבר

ראו גם:

רגולציית סייבר
ישראל, EU ובינלאומי