Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временная норма - Железные мечи) (изменение), 5784-2024

Законопроект о борьбе с серьёзными кибератаками в секторе цифровых услуг и услуг хранения данных (Временное положение — «Железные мечи») (Поправка) (Продление срока действия), 5784–2024

Тип документа: Законопроект к первому чтению (законопроект правительства) Опубликован: Законопроекты правительства № 1754, 19 ияра 5784 / 27 мая 2024

---

Настоящим публикуется правительственный законопроект:

---

Поправка к Статье 12

Статья 1

В Законе о борьбе с серьёзными кибератаками в секторе цифровых услуг и услуг хранения данных (Временное положение — «Железные мечи»), 5784–2023 (далее — «Закон»), в Статье 12, вместо «до истечения семи месяцев со дня его опубликования» вставить «до 2 нисана 5785 (31 марта 2026)».

---

Пояснительная записка

Общая часть

22 тишрея 5784 (7 октября 2023) террористические организации совершили убийственное нападение на силы безопасности и мирных жителей государства Израиль. Это нападение унесло жизни сотен граждан и нарушило весь уклад жизни на передовой и в тылу страны. Вслед за этим нападением министр обороны в тот же день объявил особое положение в тылу на основании своих полномочий по Статье 9(б)(г)(1) Закона о гражданской обороне, 5711–1951. В соответствии со Статьёй 9(а)(г) указанного Закона Комитет Кнессета по иностранным делам и обороне 27 тишрея 5784 (12 октября 2023) утвердил объявление особого положения на всей территории государства Израиль; это объявление периодически продлевается. Также в Армии обороны Израиля (далее — ЦАХАЛ) была объявлена операция «Железные мечи», а Кабинет по вопросам безопасности принял решение о проведении существенных военных операций в соответствии со Статьёй 40 Основного закона о правительстве и уведомил об этом Комитет Кнессета по иностранным делам и обороне 23 тишрея 5784 (8 октября 2023) (далее — «существенные военные операции»).

В рамках проводимых существенных военных операций, нарастающих и усиливающихся с указанной даты, участились кибератаки против гражданских структур в израильской экономике. Целью этих кибератак является нанесение ущерба — в рамках комплексного нападения, направленного против устойчивости государства Израиль, — также экономике и нормальному функционированию израильского хозяйства. Кибератаки могут причинить ущерб в киберпространстве, вред в физическом мире (например, атаки на медицинские системы или энергетическую инфраструктуру), серьёзно нарушить функционирование экономики и даже угрожать жизни людей. Кибератаки становятся всё более изощрёнными, а их последствия — всё более тяжёлыми и сложными для устранения.

Компании, предоставляющие цифровые услуги и услуги хранения данных по смыслу Закона о борьбе с серьёзными кибератаками в секторе цифровых услуг и услуг хранения данных (Временное положение — «Железные мечи»), 5784–2023 (далее — «Закон»), отличаются высоким уровнем взаимосвязанности с многочисленными структурами в израильской экономике, включая государственные министерства и публичные органы, в том числе силовые структуры, критические государственные объекты инфраструктуры и организации, жизненно важные для функционирования экономики. В связи с этой взаимосвязанностью ущерб от атаки на данные компании может распространиться и затронуть многочисленные компании в экономике.

Помимо этого, несмотря на чувствительность и экономическую значимость этих компаний, в настоящее время нет государственного органа, ответственного за регулирование их деятельности в части кибербезопасности. Применительно к таким компаниям, хранящим или обрабатывающим персональные данные, данная деятельность регулируется Управлением по защите персональных данных. При таких обстоятельствах провайдеры услуг хранения и цифровых услуг представляют собой предпочтительную мишень для кибератак.

В особенности в период нынешних боевых действий серьёзные кибератаки против этих провайдеров могут привести к масштабному ущербу для безопасности государства, безопасности населения или нормального снабжения и предоставления жизненно необходимых услуг.

В целях противодействия вышеописанной потребности правительство 14 кислева 5784 (27 ноября 2023) ввело Правила чрезвычайного положения («Железные мечи») (борьба с серьёзными кибератаками в секторе цифровых услуг и услуг хранения данных), 5784–2023 (далее — «Правила чрезвычайного положения»), а вскоре после этого, 14 тевета 5784 (26 декабря 2023), был принят Закон, заменивший Правила чрезвычайного положения. Закон уполномочивает компетентного сотрудника Национального кибердиректората, Службы общей безопасности (ШАБАК) или оборонно-исследовательского управления (МАЛМ"Б) (далее — «органы») уведомить провайдера о наличии угрозы серьёзной кибератаки против него и — в дальнейшем, в определённых случаях — давать провайдеру, подвергшемуся атаке, указания в целях обнаружения атаки, её предотвращения или сдерживания. Всё это с целью обеспечить возможность противодействия нарастающим и усиливающимся кибератакам в ходе боевых действий в рамках и в период проведения существенных военных операций. Закон устанавливает различные условия и подробные поэтапные процедуры вплоть до выдачи указаний провайдеру, а также устанавливает положения в отношении самих указаний провайдеру, — всё это с целью обеспечить выдачу таких указаний только в случае серьёзной кибератаки по смыслу Закона и в обстоятельствах, при которых провайдер не принял надлежащих мер в разумные сроки, предоставленные ему для реагирования на серьёзную кибератаку, либо не представил декларацию о внедрении мер безопасности в соответствии с соответствующим стандартом, установленным Законом; а также с целью обеспечить, что в случае выдачи указаний выдаются только необходимые и соразмерные указания для противодействия серьёзной кибератаке.

(С"Х 5784, с. 410)

---

Поясняющая записка к Статье 1

С учётом изложенного в общей части пояснительной записки, ещё до принятия Закона рабочая гипотеза соответствующих государственных органов состояла в том, что после его принятия большинство провайдеров будут надлежащим образом реагировать на серьёзные кибератаки, тем более в период боевых действий, а при необходимости — получать содействие и руководство от органов. При этом законодательство было призвано наделить полномочиями — в период чрезвычайного положения, связанного с существенными военными операциями, — давать указания провайдерам цифровых услуг или услуг хранения данных, которые не будут действовать таким образом, ввиду обстоятельств и рисков, указанных выше.

Прошедший с момента принятия Закона период подтверждает указанную рабочую гипотезу. За период действия Закона и по настоящее время наблюдается заметное улучшение в части реагирования провайдеров на серьёзные кибератаки. Провайдеры, в отношении которых была осуществлена серьёзная кибератака и которым об этом было сообщено, реагировали на неё надлежащим образом и в разумные сроки по смыслу Закона, иногда с предоставлением им содействия и руководства со стороны органов, и в связи с этим до сих пор не потребовалась выдача указаний на основании Статьи 3(4) Закона.

В этот период была подтверждена значимость Закона и соразмерный баланс, в нём закреплённый, а также структурирование процесса и механизм усмотрения, в соответствии с которыми полномочие в целях защиты применяется лишь тогда, когда того требует общественный интерес — с учётом положения дел в боевых действиях.

С учётом изложенного в общей части пояснительной записки, ввиду целей законодательства, продолжения боевого положения с сопряжёнными с ним киберрисками и угрозами, а также обусловленной ими оперативной и национальной необходимости, в целях обеспечения возможности продолжения эффективного противодействия кибератакам в секторе цифровых услуг и услуг хранения данных в данном боевом положении — и с учётом закреплённых в Законе балансов, как они описаны выше, — предлагается продлить действие Временного положения до 2 нисана 5785 (31 марта 2026). Необходимо подчеркнуть, что согласно Статье 2 Закона одним из кумулятивных условий применения полномочий компетентного директора для установления того, что та или иная кибератака является серьёзной кибератакой, является то обстоятельство, что она произошла в период проведения существенных военных операций; таким образом, если существенные военные операции завершатся до истечения предлагаемого срока, применение данных полномочий на основании Закона в любом случае станет невозможным, даже если Закон сам по себе продолжит действовать.

Отсюда следует, что фактическое значение предлагаемого продления — с учётом текста Закона — сводится к тому периоду предлагаемого продления или до окончания операции «Железные мечи», в зависимости от того, что наступит раньше.