האם הסטארטאפ שלכם חייב בדרישות סייבר?
קיבלתם סבב מימון, חתמתם על הסכם עם גוף ממשלתי, או סתם אוספים מיילים מלקוחות — כבר יש עליכם חובות משפטיות בתחום הסייבר. חוקי הסייבר בישראל חלים על כל חברה שמעבדת נתונים אישיים, ללא קשר לגודל או לשלב ההתפתחות. "לא ידענו" כבר לא מקובל כתירוץ.
הסיבה להדקה הרגולטורית פשוטה: ההפרות ממשיכות לגדול, הנזקים לפרטיות אזרחים הולכים וגוברים, וחוקים חדשים באים כדי לשמור על בעלי מידע מפני התנהגות לא אחראית של גורמים עסקיים. כל דליפת מידע, אפילו מקטנה, עלולה להסב הנזק משמעותי והפרות משפטיות חמורות.
אילו חוקים חלים על חברות טכנולוגיה בישראל?
הממשלה הישראלית פעלה בשנים האחרונות להחמרת דרישות הסייבר בחוקים ובתקנות שונות. ממוקד הממשלה לאבטחת סייבר (NCSA) מוביל את הגישה הלאומית, והחוקים העיקריים הם:
- חוק הגנת הפרטיות, התשמ"א-1981 — המסגרת הבסיסית לשמירה על מידע אישי, כולל זכויות גישה, תיקון וחוקיות של עיבוד.
- תקנות הגנת נתונים ואבטחת מידע (תשע"ד, 2013) — דרישות טכניות לאבטחת מידע בגופים ציבוריים (ישומים מסוימים חלים גם בסקטור פרטי).
- חובות דיווח breach — גופים חייבים להודיע לנפגעים ולהרשות להגנת הפרטיות על הפרות משמעותיות.
- הדרישות של משרדים ממשלתיים — למשרדים ממשלתיים יש דרישות אבטחה מחמירות המשפיעות עלספקים וקבלני משנה.
מה בדיוק אתם חייבים לעשות לפי החוק?
1. בדיקות סיכון וערכות אבטחה
כל חברה שמעבדת נתונים רגישים חייבת לערוך בדיקות סיכון תקופתיות (Risk Assessment) ולהעריך את איומי הסייבר החלים עליה. זה כולל זיהוי נקודות תורפה בתשתית, בתוכנה, ובתהליכים ניהול יים. הבדיקות צריכות להיות מתועדות ולעדכנות כל שנה לפחות, עם דוחות מפורטים המוגשים לאחראים על אבטחה בחברה.
2. דיווח על הפרות (Breach Reporting)
כאשר מגיע breach או התקפה סייבר המסכנת נתונים אישיים, החברה חייבת:
- ⚠️ להודיע לרשות להגנת הפרטיות תוך זמן סביר — שימו לב: תקנות 2021 קובעות 72 שעות, אך יישום בפועל מאפשר עד 30 יום. יש לבדוק מול הרשות המעודכן.
- להודיע לאנשים שהמידע שלהם נחשף, אלא אם הנתונים היו מוצפנים או מוגנים בצורה אחרת.
- לתעד את כל הפרטים — מי יזם את ההפרה, איזה נתונים נחשפו, ואילו צעדים נתקבלו בהקדם.
3. מינוי ממונה אבטחת סייבר (Security Officer)
משרדים קריטיים וחברות שמטפלות בכמויות גדולות של נתונים רגישים צריכות למנות ממונה אבטחת סייבר המרכז את המאמצים על אבטחה, עדכוני תוכנה, הדרכות צוות, וטיפול בתקריות סייבר. תפקיד זה חשוב לכל ארגון שמתייחס למידע כנכס קריטי.
קראו גם:
מה קורה אם לא עומדים בדרישות?
הסנקציות על הפרות של חוקי סייבר בישראל הולכות וחמורות. הרשות להגנת הפרטיות יכולה להטיל:
- קנסות מנהליים — עד 10 מיליון שקל או 3% מהמחזור השנתי (אי זה גדולה יותר) על הפרות משמעותיות של חוקי הגנה.
- צווי תיקון ועמידה ברגולציה — דרישה לתקן מערכות ותהליכים כדי להיות בתאימות עם הדרישות הרגולטוריות.
- הודעה ציבורית — הפצה של הודעה ציבורית על ההפרה, שעלולה לפגוע משמעותית במוניטין העסקי של החברה.
- אחריות אזרחית — פרטים שנפגעו מהפרה יכולים להגיש תביעות כדי לקבל פיצויים על הנזק שנגרם להם.
סטארטאפים שמזניחים אבטחת סייבר מסתכנים בעיקר בפגיעה במוניטין, כושלבעסקה, והנמכת ערך החברה בעיני משקיעים וגורמים אחרים.
רשימת הפעולות המינימלית — מאיפה מתחילים?
כדי לעמוד בדרישות הרגולטוריות, סטארטאפים צריכים:
- מפה נתונים של מה — תחקר מלא של איזה נתונים מעובדים, כיצד הם נשמרים, ומי יש גישה אליהם בדיוק.
- מדיניות ותהליכים מתועדים — תעדו מדיניות סייבר ברורות, בדיקות גישה תקופתיות, צפנון נתונים, וטיפול בתקריות.
- הדרכהצוות רחבה — כל עובד צריך הכשרה בסיסית בזיהוי דיוג (phishing), שימוש בסיסמאות חזקות, וטיפול בנתונים רגישים.
- עדכוני תוכנה ותיקיות — השמרו בעקביות על עדכונים של מערכות הפעלה, קישוריות, ותוכנות שימוש שלישי.
- בדיקות חיצוניות — שקולקבלני בדיקות סייבר או audits קוד תקופתיים.
- ביטוח סייבר — בחן ביטוח סייבר שתכסה הוצאות בתגובה להפרה או תקרית סייבר.
סטארטאפים שנערכים לדרישות הסייבר מוקדם לא רק נמנעים מקנסות — הם בונים יתרון תחרותי. לקוחות, שותפים ומשקיעים רוצים לדעת שהמידע שלהם מוגן. אבטחה טובה היא כבר חלק מה-pitch.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: בסטארטאפים, תיעוד הגנה מידע חייב להיות חלק מה-DPA עם כל בעל עניין. חסרונו עלול להוביל לקנסות משמעותיים מרשות הגנת הפרטיות.
- פסיקה רלבנטית: קיימת פסיקה בנושא אחריות תאגידית בדליפות סייבר תחת חוק הגנת הפרטיות.
- טעות נפוצה: הנחה שחברה קטנה פטורה מהדרישות. דרישות סייבר חלות על כל גודל פעילות העסקה.
- נקודה טקטית: הטמעת מדיניות סייבר מוקדמת יכולה להוביל להנחה בקנס במקרה של הפרה בעתיד (good faith defense).