Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хостинга (временная норма – Железные мечи) (Изменение № 3), 5785-2025

Закон о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение) (поправка No 3), 5785-2025

Неофициальная редакция закона.

Статья 1. Изменение названия закона

В Законе о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи») 5784-2023 (далее — Основной закон), в названии закона вместо «(временное положение — «Железные мечи»)» записать «(временное положение)».

Статья 2. Поправка к статье 1 (определения)

В статье 1 Основного закона:

(1) Перед определением «компьютерный материал» добавить:

«Связанная организация» — организация, между компьютерами которой и компьютерами поставщика существует постоянное или периодическое физическое или логическое соединение, либо осуществляется постоянная или периодическая передача компьютерных данных.

(2) В определении «уполномоченный руководитель», пункт (3): «начальник подразделения кибербезопасности МАЛМАБ» (для поставщиков, обслуживающих органы, указанные в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности).

(3) Добавить определение: «Национальный центр» — Национальный центр содействия в борьбе с киберугрозами (CERT), управляемый Кибернетическим управлением.

(4) В определении «уполномоченный сотрудник», пункт (3): вместо «технологическое подразделение» записать «подразделение кибербезопасности».

(5) Определение «значительные военные операции» — удаляется.

Статья 3. Поправка к статье 2 (полномочия)

(1) В подпункте (а): вместо «безопасности государства, общественной безопасности или обеспечения жизненно важного снабжения и услуг» записать «безопасности государства или общественной безопасности, либо серьёзно нарушить непрерывность предоставления жизненно важных услуг населению».

(2) Добавить подпункт (а1): уполномоченный руководитель вправе требовать от поставщика предоставления любых сведений или документов при наличии обоснованных оснований полагать, что происходит или имеется реальная угроза серьёзной кибератаки.

Статья 4. Добавление статьи 2а — Обязанность отчётности

(а) Если поставщику стало известно о значительной кибератаке против него, он обязан уведомить уполномоченного руководителя, если:

1. Есть реальная угроза того, что атака не ограничена данным поставщиком;
2. Атака может существенно повлиять на доступность, непрерывность или надёжность услуг поставщика.

(б) Поставщик обязан представить отчёт одним из следующих способов:

Вариант 1 — немедленный отчёт, включающий: данные поставщика, дату начала и обнаружения атаки, информацию о характеристиках атаки и возможном влиянии на связанные организации.

Вариант 2 — поэтапный отчёт:

• Первоначальный отчёт — не позднее 24 часов с момента обнаружения атаки;
• Обновлённый отчёт — не позднее 72 часов;
• Промежуточный отчёт — по требованию уполномоченного руководителя;
• Итоговый отчёт — не позднее 30 дней после обновлённого отчёта, включающий подробное описание атаки, её тип, источники и принятые меры.

(в) Отчёт подаётся через Национальный центр в электронном виде на сайте Кибернетического управления, по телефону или иным способом, установленным главой Кибернетического управления.

(г) Поставщики, обслуживающие органы, указанные в пунктах 2 и 3 Первого приложения к Закону о регулировании безопасности, подают отчёт в МАЛМАБ.

Статья 5. Поправка к статье 3

Добавить подпункт (б): поставщик обязан незамедлительно уведомить каждую связанную организацию, которой может быть нанесён прямой и существенный ущерб от серьёзной кибератаки. Уполномоченный руководитель вправе освободить поставщика от этой обязанности при наличии исключительных обстоятельств.

Статьи 6–8. Сопутствующие поправки

Обновление ссылок на статьи закона; добавление в годовой отчёт данных о количестве поставщиков, представивших информацию, отчитавшихся об атаках и случаев, когда уполномоченный сотрудник дал указание не уведомлять связанную организацию.

Статья 9. Поправка к статье 10

В Законе о судах по административным делам 5760-2000 вместо «(временное положение — «Железные мечи»)» записать «(временное положение)».

Статья 10. Поправка к статье 12 (срок действия)

Вместо «26 хешвана 5786 (17 ноября 2025)» записать «13 швата 5786 (31 января 2026)».

Статья 11. Замена Приложения

Новое Приложение устанавливает перечень стандартов кибербезопасности, при соблюдении которых поставщик может подать соответствующую декларацию:

1. NIST 800-53 (High);
2. Два из основных стандартов: ISO/IEC 27001, SOC 2 Type 2, CMMC Level 3, NIST 800-53 (Moderate);
3. Один основной стандарт + один дополнительный (ISO/IEC 27017, 27018, 27034, 27035, 27701, PCI DSS, IEC 62443, ISO 22301, SOC 2 Type 1, «Рав Маген» уровень 2, CIS Critical Security Control IG3);
4. Расширенная комбинация стандартов.

Статья 12. Отмена чрезвычайных постановлений

Чрезвычайные постановления (Железные мечи) (дополнительные полномочия для противодействия серьёзным кибератакам) 5785-2025 — отменяются.

Статья 13. Переходное положение

Указания и действия, выполненные в соответствии с чрезвычайными постановлениями до вступления в силу настоящего закона, считаются выполненными в соответствии с Основным законом в его обновлённой редакции.