Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение – Железные мечи) (изменение № 2), 5785-2025

Законопроект о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга (временное положение — «Железные мечи») (поправка № 2), 5785–2025

Законопроект для первого чтения

Официальные публикации — Законопроекты Правительства

10 адара 5785 (10 марта 2025), № 1849

---

Поправка к статье 12

В Законе о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга, 5784–2024, в статье 12 вместо слов «до дня 2 нисана 5785 (1 марта 2025)» будет записано «до дня 9 хешвана 5786 (1 октября 2025)».

---

Пояснительная записка

Общая часть

7 октября 2023 года (22 тишрея 5784) террористические организации предприняли смертоносную атаку против сил безопасности и граждан Государства Израиль. Эта атака унесла жизни сотен граждан и нарушила нормальный уклад жизни на фронте и в тылу. В тот же день министр обороны объявил особое положение в тылу на основании своих полномочий по статье 9г(б)(1) Закона о гражданской обороне, 5711–1951. В соответствии со статьёй 9г(а)(5) того же Закона, Комиссия по иностранным делам и обороне Кнессета 12 октября 2023 года (27 тишрея 5784) утвердила объявление на территории всего Государства Израиль, и это объявление продлевается время от времени. Также в Армии обороны Израиля (ЦАХАЛ) была объявлена операция «Железные мечи», и Кабинет министров по вопросам национальной безопасности принял решение о проведении существенных военных действий в соответствии со статьёй 40 Основного закона: Правительство, о чём была уведомлена Комиссия по иностранным делам и обороне Кнессета 9 октября 2023 года (23 тишрея 5784) (далее — существенные военные действия).

В ходе продолжающихся существенных военных действий с указанной даты наблюдается рост объёма и интенсивности кибератак против гражданских структур в израильской экономике. Целью этих кибератак является нанесение ущерба, в рамках комбинированной атаки, направленной против устойчивости Государства Израиль, также экономике и нормальному функционированию израильской экономики. Кибератаки могут привести к ущербу в киберпространстве, к ущербу в физическом мире (например, повреждение медицинских систем или энергетической инфраструктуры), к серьёзному нарушению функционирования экономики и даже к гибели людей. Кибератаки становятся всё более изощрёнными, их последствия — всё более тяжёлыми, а реагирование на них — всё более сложным.

Компании, предоставляющие цифровые услуги и услуги хостинга, как они определены в Законе о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга (временное положение — «Железные мечи»), 5784–2024 (далее — Закон), характеризуются высокой связанностью с многочисленными структурами в израильской экономике, включая государственные министерства и публичные органы, в том числе органы безопасности, критическую государственную инфраструктуру, организации, жизненно важные для функционирования экономики, и другие. В силу этой связанности ущерб от атаки на такие компании может распространяться и затрагивать многие компании в экономике.

Кроме того, несмотря на их чувствительность и значимость для экономики, в настоящее время нет государственного органа, ответственного за регулирование их деятельности в области киберзащиты. В отношении компаний, хранящих или обрабатывающих персональные данные, регулирование осуществляется Управлением по защите конфиденциальности при Министерстве юстиции. В таких обстоятельствах поставщики услуг хостинга и цифровых услуг представляют собой предпочтительную цель для кибератак. Особенно в период текущих боевых действий тяжёлые кибератаки против этих поставщиков могут привести к масштабному ущербу для безопасности государства, общественной безопасности или обеспечения жизненно необходимых поставок и услуг.

Для противодействия описанной проблеме Правительство 27 ноября 2023 года (14 кислева 5784) приняло чрезвычайные правила (Железные мечи) (противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга), 5784–2024 (далее — чрезвычайные правила). Вскоре после этого, 26 декабря 2023 года (14 тевета 5784), в Официальных публикациях был опубликован Закон, заменивший чрезвычайные правила. Закон был принят как временное положение сроком на семь месяцев со дня публикации, и 2 июля 2024 года (17 тамуза 5784) срок его действия был продлён до 1 марта 2025 года (2 нисана 5785).

Закон уполномочивает квалифицированного сотрудника Национальной киберсистемы, Общей службы безопасности или Уполномоченного по безопасности системы обороны (далее — органы) уведомить поставщика о наличии подозрения на тяжёлую кибератаку против него и, в определённых случаях, дать атакованному поставщику указания в целях обнаружения атаки, её предотвращения или сдерживания. Всё это — с целью обеспечения противодействия усилению кибератак в ходе продолжающихся существенных военных действий.

Статья 1

Закон устанавливает подробные и поэтапные условия и стадии применения полномочий по выдаче указаний поставщику, а также устанавливает положения относительно содержания указаний. Такая структура порядка призвана обеспечить, чтобы указания выдавались лишь при наличии тяжёлой кибератаки, как она определена в Законе, и в обстоятельствах, когда поставщик не действовал надлежащим образом и в разумный срок, предоставленный ему для реагирования на тяжёлую кибератаку, и не подал декларацию о выполнении требований безопасности в соответствии с релевантным стандартом, установленным Законом. Кроме того, данная структура призвана обеспечить, чтобы выдавались лишь указания, необходимые для противодействия тяжёлой кибератаке.

Рабочая предпосылка правительственных органов перед принятием Закона состояла в том, что после его принятия большинство поставщиков будут надлежащим образом реагировать на тяжёлые кибератаки, тем более в период военных действий, и при необходимости получат содействие и руководство со стороны органов. Вместе с тем Закон предназначен для предоставления полномочий в чрезвычайный период, связанный с существенными военными действиями, давать указания поставщикам цифровых услуг или услуг хостинга, которые не действуют надлежащим образом.

Накопленный опыт за период, прошедший с момента принятия Закона, подтверждает указанную рабочую предпосылку. С момента принятия Закона наблюдается заметное улучшение в реагировании поставщиков на тяжёлые кибератаки. Поставщики, подвергшиеся тяжёлой кибератаке и уведомлённые об этом, реагировали надлежащим образом и в разумный срок, определённый Законом, иногда при содействии и руководстве со стороны органов, и соответственно до настоящего времени не возникала необходимость применения полномочий по выдаче указаний на основании статьи 4(в) Закона.

Кроме того, накопленный опыт свидетельствует о важности Закона и о том, что установленный в нём порядок, включая процесс применения полномочий и структурирование усмотрения, является сбалансированным и соразмерным. Полномочия применяются лишь тогда, когда публичный интерес этого требует.

Следует подчеркнуть, что параллельно с существенным ростом объёмов атак наблюдается явная тенденция к усилению вида и тяжести атак против израильского киберпространства, и прежде всего против поставщиков услуг хостинга и цифровых услуг. В период боевых действий, и особенно в период после продления действия Закона, произошли существенные кибератаки против поставщиков в секторе цифровых услуг, в связи с которыми была объявлена тяжёлая кибератака в соответствии с Законом. Усиление, намерения и попытки атакующих в этот период требуют действовать максимально быстро и эффективно в отношении данного сектора. Поэтому, и в связи со всем изложенным выше, существует реальная оперативная необходимость продлить действие Закона, как предлагается в данном Законопроекте.

Как указано, Закон установлен как временное положение и действует до 1 марта 2025 года (2 нисана 5785). В связи с продолжением существенных военных действий, рисками и вызовами в области кибербезопасности, сопряжёнными с данным состоянием войны, как изложено в общей части пояснительной записки, и с целью обеспечения продолжения противодействия кибератакам в секторе цифровых услуг и услуг хостинга в данном состоянии войны, с учётом балансирующих механизмов, установленных в Законе, предлагается продлить срок действия Закона до 9 хешвана 5786 (1 октября 2025). Следует подчеркнуть, что согласно статье 2 Закона одним из условий того, чтобы уполномоченный руководитель мог квалифицировать определённую кибератаку как тяжёлую, является то, что атака произошла в период существенных военных действий, так что если этот период завершится до окончания предлагаемого срока продления, то в любом случае невозможно будет применить полномочия на основании Закона, даже если сам Закон будет действовать. Отсюда следует, что на практике правовое значение предлагаемого продления ограничено периодом продления или периодом существенных военных действий — в зависимости от того, какой из них завершится первым.

---

Составлено в отделе Официальных публикаций Министерства юстиции и отпечатано в Государственной типографии.