חזרה לעמוד הקודם

האיחוד האירופי: כניסה לתוקף של רגולציית הגנת סייבר חדשה בתחום התשתיות החיוניות (CER, NIS2)

ד"ר אסף וינר ועדו אילי (מחלקת מדיניות ורגולציה, איגוד האינטרנט הישראלי) | 14.02.2023

ההתפתחות המשמעותית באיומי תקיפות סייבר הובילה גופים מדינתיים להגביר ולשפר את האמצעים הנלקחים לצורך הגנה על תשתיות חיוניות ויעדים רגישים. בראשית שנת 2023 נכנסו לתוקף באיחוד האירופי הדירקטיבה בדבר אמצעים לרמה משותפת גבוהה של אבטחת סייבר ברחבי האיחוד ("דירקטיבת NIS2") והדירקטיבה בנושא חוסן של גופים קריטיים ("דירקטיבת CER"). דירקטיבת NIS2 מבטלת את הוראת NIS הנוכחית ויוצרת מערכת רחבה והרמונית יותר של כללים בנושא אבטחת סייבר עבור ארגונים המבצעים את פעילותם בתוך האיחוד האירופי. הוראת ה-CER מבטלת את ה-European Critical Infrastructure Directive ומביאה איתה כללים חדשים וחזקים יותר לחוסן הסייבר והפיזי של גופים ורשתות קריטיות. הוראות ועקרונות דירקטיבות אלו, יוצגו בסקירה זו.

דירקטיבת NIS2

מטרת הדירקטיבה היא לעדכן ולשפר את החוסן ואת יכולות התגובה לאירועים של גופים במגזר הציבורי והפרטי ושל האיחוד האירופי בכללותו, באמצעות קביעת סטנדרטים רגולטוריים של דרישות אבטחת סייבר ויישום אמצעי אבטחת סייבר במדינות האיחוד, יחד עם מנגנונים לשיתוף פעולה יעיל בין הרשויות הרלוונטיות בכל מדינה. כמו כן, הדירקטיבה מעדכנת את רשימת המגזרים והפעילויות הכפופים לחובות אבטחת סייבר וקובעת תרופות וסנקציות כדי להבטיח אכיפה. בעוד שלפי הרגולציה הקודמת, המדינות החברות היו אחראיות לקבוע אילו גופים יעמדו בקריטריונים כדי להיות מפעילים של שירותים חיוניים, הדירקטיבה החדשה מציגה כלל תקרת גודל ככלל לזיהוי גופים מפוקחים. המשמעות היא שכל הגופים הבינוניים והגדולים הפועלים במגזרים או מספקים שירותים הנכללים בהוראה ייכנסו תחת היקפה.

הוראות החקיקה

חובות של כל הישויות החיוניות

אסטרטגיית סייבר (סעיף 7) : כל מדינה תאמץ אסטרטגיית אבטחת סייבר לאומית המספקת את היעדים האסטרטגיים, את המשאבים הנדרשים להשגת יעדים אלו, ואמצעי מדיניות ורגולציה מתאימים, במטרה להשיג ולשמור על רמה גבוהה של אבטחת סייבר.

רשות מוסמכת (סעיף 8): כל מדינה חברה תמנה או תקים רשות מוסמכת אחת או יותר האחראית לאבטחת סייבר ולמשימות הפיקוח המוצגות ברגולציה זו.

אירועי משבר (סעיף 9): כל מדינה חברה תמנה או תקים רשות מוסמכת אחת או יותר האחראית על ניהול אירועי ומשברי אבטחת סייבר בקנה מידה גדול.

צוותי תגובה לאירועי אבטחת מחשבים (Computer security incident response teams – CSIRTs) (סעיף 10-12): הוראות הקשורות להקמת צוותי תגובה אלו והחובות המוטלות עליהם.

שיתוף פעולה בינלאומי (סעיף 17):  האיחוד רשאי, במידת הצורך, לערוך הסכמים בינלאומיים עם מדינות שלישיות או ארגונים בינלאומיים, המאפשרים ומארגנים את השתתפותם בפעילויות מסוימות של קבוצת שיתוף הפעולה (סעיף 14), רשת )CSIRTsסעיף 15) ו-)EU-CyCLONeסעיף 16). הסכמים כאלה יצטרכו לעמוד בחוק הגנת המידע של האיחוד.

דיווח מצב אבטחת הסייבר (סעיף 18): הדו"ח יוגש לפרלמנט האירופי.

ניהול סיכוני אבטחת סייבר (סעיף 21): המדינות החברות יבטיחו שגורמים חיוניים וחשובים ינקטו באמצעים טכניים, תפעוליים וארגוניים הולמים ופרופורציונליים כדי לנהל את הסיכונים הנשקפים לאבטחת הרשת ומערכות המידע שבהן משתמשים אותם גופים לצורך פעילותם או לצורך אספקת שירותיהם, וכדי למנוע או למזער את ההשפעה של תקריות על מקבלי השירותים שלהם ועל שירותים אחרים.

חובות דיווח (סעיף 22): כל מדינה חברה תבטיח כי ישויות חיוניות וחשובות יודיעו, ללא דיחוי מיותר, לרשות המוסמכת שלה או לצוותי התגובה על כל אירוע שיש לו השפעה משמעותית על אספקת השירותים שלהם כמפורט ברגולציה (אירוע משמעותי). במידת הצורך, ישויות הנוגעות בדבר יודיעו, ללא דיחוי מיותר, למקבלי שירותיהם על תקריות משמעותיות העלולות להשפיע לרעה על מתן שירותים אלה. אירוע יוגדר כאירוע משמעותי במקרה ו:

  • הוא גרם או מסוגל לגרום להפרעה תפעולית חמורה של השירותים או להפסד כספי עבור הישות הנוגעת בדבר;
  • הוא השפיע או מסוגל להשפיע על אנשים או ישויות משפטיות אחריות על ידי גרימת נזק מהותי או לא מהותי.

חובות של  DNS Registries ו-ccTLDs

רישום של ישויות (סעיף 27): מדינות האיחוד יהיו מחויבות לדרוש מרשמי ספקי שירותי DNS, רישומי שמות TLD, ישויות המספקות שירותי רישום שמות דומיין, ספקי שירותי מחשוב ענן, ספקי שירותי מרכזי נתונים, ספקי רשתות אספקת תוכן, ספקי שירותים מנוהלים, ספקי שירותי אבטחה מנוהלים, כמו גם ספקים של שווקים מקוונים, של מנועי חיפוש מקוונים ושל פלטפורמות שירותי רשתות חברתיות את הפרטים הבאים:

  • שם הישות והתחום תחתיו היא מוגדרת ברגולציה;
  • כתובת מקום מושבה, מספרי טלפון וכתובת מייל;
  • מדינות האיחוד בהן פועלת הישות;
  • טווחי כתובות ה-IP של הישות;

מאגר שמות מרשם (סעיף 28):  לצורך תרומה לאבטחה, ליציבות ולחוסן של ה-DNS, המדינות החברות ידרשו מרשמי שמות TLD וגופים המספקים שירותי רישום שמות מתחם לאסוף ולתחזק נתוני רישום מדויקים ומלאים במסד נתונים ייעודי תוך ביצוע בדיקת נאותות. המדינות החברות ידרשו ממאגר נתוני רישום שמות המתחם להכיל את המידע הדרוש כדי לזהות וליצור קשר עם המחזיקים בשמות המתחם ונקודות הקשר המנהלות את שמות התחום תחת ה-TLD. מידע כזה יכלול:

  • שם הדומיין ותאריך הרישום;
  • פרטי מחזיקים של שמות מרשם: שם, מספר הטלפון וכתובת המייל של הרושם, כתובת הדוא"ל ליצירת קשר ומספר הטלפון של נקודת הקשר המנהלת את שם הדומיין במידה ואלו שונים מאלה של הנרשם;

המדינות החברות ידרשו ממרשם שמות ה-TLD והישויות המספקות שירותי רישום שמות מתחם לקבוע מדיניות ונהלים, לרבות נהלי אימות, אשר יבטיחו שמסדי הנתונים כוללים מידע מדויק ומלא. המדינות החברות ידרשו שמדיניות ונהלים אלו יהיו זמינים לציבור.

מרשמי שמות המתחם ידרשו לפרסם בפומבי את כל המידע הקיים במאגר ואשר אינו מידע אישי. בנוסף, מדינות האיחוד ידרשו ממרשם שמות ה-TLD והישויות המספקות שירותי רישום שמות מתחם לספק גישה לנתוני רישום שמות מתחם ספציפיים על פי בקשות חוקיות ומנומקות כדין של מבקשי גישה לגיטימיים, בהתאם לחוק הגנת הנתונים של האיחוד. המדינות החברות ידרשו מגופים אלו להשיב ללא דיחוי מיותר ובכל מקרה תוך 72 שעות מרגע קבלת בקשה לגישה.

דירקטיבת CER

ב-22 בנובמבר אישר הפרלמנט האירופי את הדירקטיבה בנושא חוסן של גופים קריטיים (CER) שמטרתה לשפר את אספקת השירותים החיוניים לשמירה על פונקציות חברתיות חיוניות או פעילויות כלכליות (כלומר ישויות קריטיות), ואשר משתייכים למגזרים כמו אנרגיה, תחבורה, מנהל ציבורי ותשתיות דיגיטליות. מטרת הדירקטיבה הינה לצמצם את הפגיעות ולחזק את החוסן של ישויות קריטיות.

הוראות החקיקה

אסטרטגיה לחוסן של ישויות קריטיות (סעיף 4): כל מדינה באיחוד תידרש לאמץ עד שלוש שנים מתאריך הכניסה לחוק של דירקטיבה זו, אסטרטגיה להגברת החוסן של ישויות קריטיות.

ניהול סיכונים מדינתי (סעיף 5): מדינות יתבקשו לבצע ניהול סיכונים כדי לראות מהם המגזרים והתשתיות אשר עלולים להיות חשופים לסיכונים.

זיהוי ישויות קריטיות (סעיף 6): המדינות החברות באיחוד ידרשו לזהות ישויות אשר מספקות שירות חיוני, הישות פועלת, והתשתית הקריטית שלה ממוקמת, בשטחה  של מדינה חברה; ולתקרית יכולה להיות השפעה משבשת משמעותית, כפי שנקבע בסעיף 7(1), על מתן שירות חיוני אחד או יותר על ידי הישות או על מתן שירותים חיוניים אחרים התלויים בשירותים החיוניים האלה.

הגדרת "השפעה משבשת משמעותית" (סעיף 7): כאשר קובעים את המשמעות של השפעה משבשת כפי שהוזכרה בסעיף 6, המדינות החברות ייקחו בחשבון את הקריטריונים הבאים:

  • מספר המשתמשים המסתמכים על השירות החיוני שמספקת הישות;
  • המידה שבה תלויים מגזרים ותתי-מגזרים אחרים המפורטים בחקיקה בשירות הספציפי;
  • השפעה שיכולה להיות לאירוע על הכלכלה ופעילויות חברתיות, איכות הסביבה, ביטחון וביטחון הציבור, או בריאותה של האוכלוסייה;
  • נתח השוק של הישות בשוק של השירות החיוני;
  • האזור הגיאוגרפי שעלול להיות מושפע מהתקרית, לרבות השפעה חוצת גבולות, והתחשבות ברמות הבידוד של אזורים גיאוגרפיים מסוימים;
  • חשיבות הישות בשמירה על רמה מספקת של השירות החיוני, תוך התחשבות בזמינותם של אמצעים חלופיים למתן השירות.

תמיכה בישויות חיוניות (סעיף 10): המדינות החברות יתמכו בישויות קריטיות בהגברת החוסן שלהן. התמיכה הזאת עשויה לכלול פיתוח חומרי הדרכה ומתודולוגיות, תמיכה בארגון תרגילים לבדיקת חוסנם ומתן עצות והדרכה ל- כוח אדם של גופים קריטיים.

החרגה של תשתיות דיגיטליות: הדירקטיבה קובעת כי גורמי תשתית דיגיטלית הנכללים תחת דירקטיבת NIS2 (כגון: שירותי שמות מתחם, רשמי TLDs, ספקי שירותי עינן, מחלפי אינטרנט) יוחרגו מתחום חובות מסוימות החלות על גופים קריטיים לפי הוראת ה-CER (כגון דיווח על אירועים וחובות ביצוע הערכות סיכונים). הסיבה להחרגה זו נובעת מכך ש- NIS2 כבר כוללת חובות דומות החלות על ספקי תשתית דיגיטלית, כגון TLDs וספקי שירותי DNS. כמו כן, ההנחיה מדגישה כי עבור גורמי תשתית (לרבות TLDs), הרשויות המוסמכות לפי הוראת ה-CER יהיו הרשויות המוסמכות לפי NIS2. יתרה מכך, בעת הערכת עמידתו של גורם קריטי בהתחייבויותיו על פי הוראת ה-CER, הרשויות המוסמכות במסגרת ה-CER יכולות לבקש מהרשויות המוסמכות לפי NIS2 להפעיל את סמכות הפיקוח והאכיפה שלהן.