Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хостинга (временная норма – Железные мечи) (Изменение № 3), 5785-2025

Закон о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение) (Поправка № 3), 5785-2025

Законопроект для второго и третьего чтений Внутренний номер: 2234441, Номер ссылки: 2025-001428, Приложение № м-1888/а'

Данный законопроект обсуждён Кнессетом в первом чтении 20 таммуза 5785 года (16 июля 2025 г.) и передан Комиссии по иностранным делам и обороне.

Законопроект представлен — без оговорок — для второго и третьего чтений 19 ава 5785 года (13 августа 2025 г.).

---

Закон о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение) (Поправка № 3), 5785-2025

Изменение названия Закона (статья 1)

В Законе о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023 (далее — Основной закон), в названии Закона вместо «(временное положение — «Железные мечи»)» — «(временное положение)».

Поправка к статье 1 (статья 2)

В статье 1 Основного закона:

(1) Перед определением «"компьютерный материал", "компьютер", "распечатка" и "программное обеспечение"» добавить: «"Связанная организация" — организация, между компьютерами которой и компьютерами провайдера существует физическое или логическое соединение, постоянное или периодическое, или осуществляется передача компьютерного материала, постоянная или периодическая, между компьютерами провайдера и её компьютерами;»

(2) В определении «уполномоченный руководитель» вместо пункта (3): «(3) в отношении провайдера организаций, перечисленных в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности — начальник подразделения кибербезопасности МАЛМАБ;»

(3) После определения «кибернетическая система» добавить: «"Национальный центр" — Национальный центр содействия в противодействии киберугрозам (CERT), которым управляет кибернетическая система;»

(4) В определении «уполномоченный сотрудник», в пункте (3), вместо «технологическое подразделение» — «подразделение кибербезопасности»;

(5) Определение «значительные военные действия» — удалить.

Поправка к статье 2 (статья 3)

В статье 2 Основного закона:

(1) В подстатье (а):

• (а) во вводной части, вместо «в безопасности государства, в общественной безопасности или в обеспечении поставок и жизненно важных услуг» — «в безопасности государства или в общественной безопасности, или серьёзно нарушить непрерывность предоставления жизненно важных услуг населению»;
• (б) пункт (1) — удалить;

(2) После подстатьи (а) добавить: «(а1) Если у уполномоченного руководителя имеются разумные основания полагать, что происходящая кибератака, или в отношении которой существует реальное опасение, что она вот-вот произойдёт, является тяжёлой кибератакой против провайдера или атакой, осуществляемой посредством провайдера, он вправе лично или через уполномоченного сотрудника потребовать от провайдера предоставить ему любые сведения или документы, включая распечатки, для обеспечения или упрощения исполнения настоящей статьи; положения настоящей подстатьи не применяются в отношении провайдера, подавшего аффидавит согласно статье 3(а)(3);»

(3) В подстатье (б) вместо «в пунктах (1)–(3)» — «в пунктах (2) и (3)».

Добавление статьи 2а (статья 4)

После статьи 2 Основного закона добавить:

Статья 2а. Обязанность уведомления

(а) Если провайдеру стало известно о том, что против него фактически осуществляется значительная кибератака, в отношении которой выполняется одно из нижеследующих условий, он обязан сообщить об этом уполномоченному руководителю в соответствии с положениями подстатьи (б):

1. Существует реальное опасение, что атака не ограничена атакуемым провайдером;
2. Атака может существенно нарушить доступность, непрерывность или надёжность услуг провайдера, с учётом, в частности: (а) числа или типа пользователей услуги, которые могут пострадать от атаки; (б) вида и масштаба ущерба; (в) продолжительности ущерба.

(б) Для исполнения обязанности уведомления провайдер действует одним из следующих способов, с указанием выбранного способа:

(1) Незамедлительно подаёт отчёт, содержащий следующие сведения (если они ему известны) и любую иную информацию, способствующую оценке тяжести кибератаки и её последствий:

• (а) данные провайдера и предоставляемых им услуг, включая контактные данные;
• (б) дату начала кибератаки и дату её обнаружения;
• (в) информацию о характеристиках кибератаки и её воздействии на провайдера;
• (г) информацию о возможности существенного воздействия кибератаки на связанную организацию;

(2) Подаёт отчёты в следующем порядке:

• (а) без задержки и не позднее 24 часов с момента, когда провайдеру стало известно о кибератаке — первичный отчёт, содержащий информацию, способствующую оценке тяжести атаки и её последствий (если она известна), а также данные провайдера и предоставляемых им услуг, включая контактные данные;
• (б) без задержки и не позднее 72 часов — отчёт, содержащий обновление информации первичного отчёта, первичную оценку тяжести атаки и её последствий, информацию о характеристиках кибератаки и идентификаторах атаки (если информация известна);
• (в) по требованию уполномоченного руководителя — промежуточный отчёт в установленный им срок;
• (г) не позднее 30 дней после подачи отчёта по подпункту (б) — итоговый отчёт, содержащий: (1) подробное описание кибератаки, включая её тяжесть и последствия; (2) тип кибератаки и факторы, послужившие источником её возникновения; (3) способ устранения кибератаки, включая сведения о принятых или принимаемых мерах, за исключением коммерческой тайны;
• (д) если на момент подачи итогового отчёта устранение кибератаки не завершено — отчёт о ходе устранения; по завершении устранения — итоговый отчёт не позднее 30 дней после завершения.

(в) Отчёт подаётся уполномоченному руководителю через Национальный центр в электронном виде на сайте кибернетической системы, по телефону Национального центра или иным способом, установленным главой кибернетической системы и опубликованным на указанном сайте.

(г) Провайдер организации, перечисленной в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности, подаёт отчёт в МАЛМАБ способом, определённым главой МАЛМАБ.

Поправка к статье 3 (статья 5)

В статье 3 Основного закона:

(1) Текст обозначается как «(а)», и в нём:

• (а) во вводной части после «против провайдера» добавить «или посредством него»;
• (б) в пункте (3) вместо «в соответствии со стандартом, перечисленным в Приложении или по нему» — «в соответствии с указанным в столбце А Приложения», и после «против которых была совершена атака» добавить «и если в столбце Б Приложения рядом с ним указан документ — с приложением документа»;

(2) После подстатьи (а) добавить: «(б)(1) Если уполномоченный сотрудник направил провайдеру уведомление согласно подстатье (а), провайдер без задержки уведомит каждую связанную организацию, которая может быть непосредственно и существенно затронута тяжёлой кибератакой, и сообщит об этом в письменном виде уполномоченному сотруднику, — если только уполномоченный сотрудник не распорядился иначе; настоящая подстатья не применяется к провайдеру, подавшему аффидавит согласно подстатье (а)(3).

(2) Уполномоченный руководитель вправе, по письменному ходатайству провайдера, если убедился в наличии исключительных обстоятельств, оправдывающих это, освободить провайдера от обязанности уведомления по пункту (1) или отсрочить момент уведомления.»

Поправка к статье 4 (статья 6)

В статье 4 Основного закона вместо «выданные провайдеру по статье 3» — «выданные провайдеру по статьям 2(а1), 2а(б)(2)(в) или 3».

Поправка к статье 6 (статья 7)

В статье 6(б) Основного закона после «в тяжёлой кибератаке» добавить «а в отношении кибератаки, которая по положениям статьи 2 была признана не являющейся тяжёлой кибератакой, — вскоре после принятия решения о том, что атака не является тяжёлой кибератакой».

Поправка к статье 8 (статья 8)

В статье 8(а) Основного закона: (1) в пунктах (1) и (1а) вместо «статья 3(4)» — «статья 3(а)(4)»; (2) в пункте (2) вместо «статья 3» — «статья 3(а)»; (3) после пункта (4) добавить: «(5) число провайдеров, от которых было потребовано предоставить уполномоченному руководителю сведения или документы по статье 2(а1); (6) число случаев, когда провайдер сообщил по статье 2а о происходящей против него кибератаке; (7) число случаев, когда уполномоченный сотрудник указал провайдеру не уведомлять связанную организацию о тяжёлой кибератаке по статье 3(б)(1).»

Поправка к статье 10 (статья 9)

В статье 10 Основного закона, изменяющей Закон о судах по административным делам, 5760-2000, в пункте 65 Первого приложения к указанному Закону вместо «(временное положение — «Железные мечи»)» — «(временное положение)».

Поправка к статье 12 (статья 10)

В статье 12 Основного закона вместо «26 хешвана 5786 года (17 ноября 2025 г.)» — «13 швата 5786 года (31 января 2026 г.)».

Замена Приложения (статья 11)

Приложение к Основному закону заменяется новым, содержащим таблицу стандартов кибербезопасности в двух столбцах (А — стандарт, Б — документ):

1. NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (high);
2. Провайдер соответствует требованиям двух из базовых стандартов: ISO/IEC 27001, SOC 2 Type 2, CMMC Level 3, NIST 800-53 (Moderate);
3. Провайдер выполняет оба условия: (1) соответствие одному базовому стандарту с приложением сертификата и выполнение требований второго базового стандарта; (2) соответствие одному из дополнительных стандартов: ISO/IEC 27017, 27018, 27034, 27035, 27701, PCI DSS, IEC 62443, ISO 22301, SOC 2 Type 1, «Рав-Маген» уровня 2, CIS Critical Security Control (IG3);
4. Провайдер выполняет все условия: (1) соответствие CMMC Level 3 или NIST 800-53 (Moderate); (2) выполнение требований одного базового стандарта (ISO/IEC 27001 или SOC 2 Type 2); (3) выполнение требований одного из дополнительных стандартов (ISO/IEC 27017, 27018, 27034, 27035, 27701, NIST SP 800-161, NIST SP 800-218, PCI DSS, IEC 62443, ISO 22301, SOC 2 Type 1, «Рав-Маген» уровня 2, CIS Critical Security Control (IG3)).

Отмена чрезвычайных постановлений (статья 12)

Чрезвычайные постановления («Железные мечи») (дополнительные полномочия для противодействия тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных), 5785-2025 — отменяются.

Переходное положение (статья 13)

Указания, выданные и действия, совершённые по чрезвычайным постановлениям до вступления в силу настоящего Закона, считаются совершёнными по Основному закону в редакции настоящего Закона, и его положения распространяются на них.

---

Оговорки и заявки на право выступления

Оговорки: нет.

Заявки на право выступления поданы депутатами: Мерав Михаэли, Наама Лазими, Гилад Карив, Эфрат Рейтан Маром, Яир Лапид, Меир Коэн, Карин Эльхарар, Мерав Коэн, Элазар Штерн, Мики Леви, Мерав Бен-Ари, Рам Бен-Барак, Йоав Сегалович, Боаз Топоровски, Михаль Шир Сегман, Йорай Лахав-Герцано, Владимир Беляк, Рон Кац, Мати Царфати Херкави, Татьяна Мазарски, Ясмин Фридман, Деби Битон, Моше Тур-Паз, Симон Давидсон, Наор Шири, Шели Таль-Мирон, Ярон Леви, Инон Азулай.