מי בישראל מחויב היום רגולטורית למנות CISO?
1. גופים המסווגים כ–תשתיות מדינה קריטיות (תמ״ק)
חובה בפועל:
-
מוגדרים בתוספת לחוק להסדרת הביטחון בגופים ציבוריים (הוראת שעה).
-
מונחים ישירות ע”י מערך הסייבר הלאומי או שב”כ.
-
מחויבים בבניית מערך הגנת סייבר הכולל תפקיד CISO.
המסמך מציין מפורשות כי גופי תמ״ק מונחים תחת חוק הביטחון בגופים ציבוריים, אך לא מפרט את סעיפי החובה עצמה.
דוגמאות: חשמל, מים, דלק, נמלים, תחבורה, בריאות, תקשורת.
2. מוסדות פיננסיים מפוקחים – בנק ישראל / רשות שוק ההון
בנקים וחברות כרטיסי אשראי
על פי נוהל ניהול אבטחת מידע של בנק ישראל (359/367):
-
חובה למנות מנהל אבטחת מידע בכפיפות ישירה ל–CRO/מנכ״ל.
-
חובה להגדיר קו שלוש הגנות וסמכויות אסדרה פנים־ארגונית.
חברות ביטוח, סוכנויות ביטוח, קרנות פנסיה
על פי חוזרי סייבר של רשות שוק ההון (2018–2022):
-
חובה למנות מנהל אבטחת מידע וסייבר.
-
דיווח תקופתי קבוע לדירקטוריון ולרגולטור.
ספקי תקשורת – לפי משרד התקשורת
לפי רישיונות כללי/יידוע:
-
חברות תקשורת, אינטרנט, סלולר ומפעילי תשתית –
מחויבים למנות ממונה אבטחת מידע, לאשר מדיניות, ולדווח על אירועי סייבר.
מוסדות בריאות – משרד הבריאות
חוזר “אבטחת מידע במערכות בריאות”:
-
חובה למנות מנהל אבטחת מידע (CISO/ממונה הגנת מידע רפואי).
-
תנאי לקבלת רישיון — עבור בתי חולים, קופות חולים, מעבדות ומכוני דימות.
רשויות מקומיות – משרד הפנים / הנחיות רשות התקשוב
בפועל:
-
חובה למנות ממונה אבטחת מידע ברשויות מעל גודל מסוים.
-
חלק מהדרישות מעוגנות ברגולציית הגנת הפרטיות, וחלק בהנחיות ממשלתיות.
גופים ציבוריים המחזיקים מידע אישי רגיש – רשות הגנת הפרטיות
לפי תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017:
-
ארגונים בעלי מאגר ברמת אבטחה גבוהה (מידע רפואי, פיננסי, ביומטרי וכו׳) –
חייבים למנות ממונה אבטחת מידע.
איפה אין חובה מפורשת בחוק – אך יש ציפייה רגולטורית?
המסמכים שהועברו (כגון תפיסת הסייבר הלאומית) מתייחסים לכך שבעולם של עליית כוננות ומשברים:
-
כל ארגון בעל נכסי סייבר חיוניים נדרש למנגנון הגנה,
-
כולל מנהל הגנת סייבר/אבטחת מידע כחלק מצוות ניהול המשבר.
אבל: אין במסמכים הללו הוראה המחייבת מינוי CISO לכלל המשק.
המלצה מקצועית (CISO / GRC)
למרות שלא כל הארגונים מחויבים חוקית, מומלץ לכל ארגון אשר:
-
תומך בתהליכי ליבה עסקיים קריטיים
-
מחזיק מידע אישי/רגיש
-
מעניק שירותים מבצעיים/תפעוליים
-
משולב בשרשרת אספקה של מגזר קריטי
למנות CISO ברמת הנהלה, בהתאם ל–ISO 27001 A.5 – בקרת ממשל (בקרה מונעת).
דגשים רגולטוריים חשובים
|
מגזר |
חובה? |
מקור רגולציה |
|---|---|---|
|
תמ״ק (Critical Infrastructure) |
✔️ חובה |
חוק להסדרת הביטחון בגופים ציבוריים |
|
בנקים |
✔️ חובה |
נוהל אבטחת מידע בנק ישראל 359/367 |
|
ביטוח ופנסיה |
✔️ חובה |
חוזרי סייבר – רשות שוק ההון |
|
תקשורת |
✔️ חובה |
רישיונות מפעיל – משרד התקשורת |
|
בריאות |
✔️ חובה |
חוזרי אבטחת מידע – משרד הבריאות |
|
רשויות מקומיות |
✔️ חלקי |
רשות התקשוב / משרד הפנים |
|
כל ארגון עם מאגר ברמת אבטחה גבוהה |
✔️ חובה |
תקנות הגנת הפרטיות (אבטחת מידע), 2017 |
|
ארגוני עסקיים רגילים |
❌ אין חובה |
אך מומלץ — לפי תוה”ג ומערך הסייבר |