דירקטיבת NIS-2 נכנסה לתוקף באיחוד האירופי באוקטובר 2024. ואם אתם מנהלים חברה ישראלית שמוכרת לגופים אירופאיים — או נמצאת בשרשרת האספקה שלהם — כבר עכשיו אתם כנראה מקבלים שאלות בחוזים: "האם אתה עומד בדרישות NIS-2? יש לכם ISO 27001?" זה לא תרגיל אקדמי. זה תנאי לעסקה.
המדריך הזה מחבר שלוש רגולציות שרוב עסקים מטפלים בהן בנפרד — NIS-2, ISO/IEC 27001:2022 ותיקון 13 לחוק הגנת הפרטיות — ומראה שבמציאות הן חופפות בכ-70% מהבקרות. זה אומר שהכנה חכמה לאחת מקדמת אוטומטית את השתיים האחרות.
למה עסק ישראלי בכלל צריך לדאוג ל-NIS-2
NIS-2 (Network and Information Security Directive 2, או בשמה הרשמי: EU Directive 2022/2555) היא דירקטיבה של האיחוד האירופי. היא לא חלה ישירות על חברות ישראליות שפועלות רק בשוק המקומי. אז למה כל כך הרבה CTO ו-CISO ישראלים מוצאים את עצמם עם שאלות על NIS-2 בדואל?
התשובה היא מה שמכונים "shadow reach clauses" — סעיפי ציות בחוזים עם לקוחות אירופאיים. הגוף האירופי שלכם — חברה, בנק, רשות ציבורית — כפוף ל-NIS-2. ה-NIS-2 מחייבת אותו לנהל את שרשרת האספקה שלו, כולל הספקים שלו מחוץ לאיחוד. אז הוא מוריד את הדרישה אליכם חוזית: "ספק שאינו עומד בדרישות ה-NIS-2 שלנו — לא ייחשב כספק מאושר."
דוגמה קונקרטית: חברת SaaS ישראלית שמוכרת לבנק גרמני. ה-BaFin (הרגולטור הגרמני) מחייב את הבנק לנהל סיכוני ספקים לפי NIS-2. הבנק שולח לכם שאלון: "האם יש לכם ISO 27001? האם יש לכם תהליך דיווח אירועים? מה זמן ההתאוששות שלכם?" אם אין — הבנק לא יכול להמשיך לעבוד איתכם.
זה ה-shadow reach: אתם לא כפופים ל-NIS-2 כחוק, אבל כל חוזה עם לקוח אירופאי יכול להפוך אותה לתנאי מחייב מסחרית. ולהפך — ISO 27001 הוא הכרטיס הכניסה המעשי ביותר להוכיח עמידה בדרישות אלו.
שלוש הרגולציות — מבט כולל
לפני שנכנסים למפת החפיפה, הנה סקירה קצרה של כל אחת. אם אתם כבר מכירים, קפצו ישר לטבלה.
NIS-2 — דירקטיבת האיחוד האירופי לאבטחת רשתות ומידע
NIS-2 מחליפה את NIS-1 (2016) ומרחיבה משמעותית את ההיקף. היא מסווגת ארגונים ל"ישויות חיוניות" (Essential) ו"ישויות חשובות" (Important) ומחייבת אותם ב: ניהול סיכונים סייברניים, בקרות טכניות ואירגוניות, דיווח אירועים בטווחי זמן ספציפיים, וניהול שרשרת האספקה. אכיפה: קנסות של עד €10 מיליון או 2% ממחזור עולמי לישויות חיוניות.
ISO/IEC 27001:2022 — תקן בינלאומי לניהול אבטחת מידע
ISO 27001 הוא תקן מרצון, אך בעל הכרה גלובלית. הגרסה של 2022 עדכנה את Annex A מ-114 בקרות (ב-2013) ל-93 בקרות מאורגנות ב-4 נושאים (Organizational, People, Physical, Technological). הוספת בקרות חדשות בתחומי cloud, threat intelligence ו-data masking. תהליך האישור: ביקורת חיצונית על ידי גוף מוסמך (כמו BSI, Bureau Veritas, SGS). תוקף: 3 שנים עם ביקורות מעקב שנתיות.
תיקון 13 לחוק הגנת הפרטיות — הרפורמה הישראלית
תיקון 13 (שנכנס לתוקף בשלבים ב-2025) הוא השינוי המשמעותי ביותר בחוק הגנת הפרטיות הישראלי מאז חקיקתו. הוא מחייב הודעה לרשות להגנת הפרטיות (PPA) ולנפגעים תוך 72 שעות מגילוי פרצה, מרחיב את הגדרת "מאגר מידע" ואת חובות "בעל המאגר", מגדיל קנסות ובמקרים מסוימים מחייב מינוי ממונה פנימי על הגנת הפרטיות (בדומה ל-DPO באירופה).
מפת חפיפה — 70% מהבקרות משותפות
הטבלה הבאה היא הלב של המדריך הזה. היא מראה שרוב העבודה שתעשו לקראת ISO 27001 תשרת גם את NIS-2 וגם את תיקון 13 — ולהפך.
| נושא בקרה | NIS-2 — דרישה | ISO 27001:2022 — Annex A | תיקון 13 לחוק הגנת הפרטיות |
|---|---|---|---|
| בקרת גישה (Access Control) | חובה — גישה מינימלית לפי תפקיד, MFA לגישה מרחוק | A.5.15, A.5.18, A.8.2 — Identity mgmt, privileged access | חובה — הגבלת גישה למאגרי מידע אישיים לפי הרשאה |
| ניהול אירועים (Incident Response) | חובה — 24h Early Warning, 72h Notification, 30 יום Final Report | A.5.24, A.5.25, A.5.26 — Incident planning, reporting, learning | חובה — הודעה לרשות ולנפגעים תוך 72 שעות |
| הצפנה (Encryption) | חובה — הצפנת נתונים במנוחה ובתעבורה | A.8.24 — Use of cryptography | מומלץ — חובה לנתונים רגישים במיוחד |
| סיכוני ספקים (Supplier Risk) | חובה — ניהול שרשרת אספקה, בדיקת ספקי ICT | A.5.19, A.5.20, A.5.21, A.5.22 — Supplier relationships | מומלץ — חובת פיקוח על מעבדי מידע מטעמך |
| הדרכת מודעות (Awareness Training) | חובה — הכשרת עובדים על סיכוני סייבר | A.6.3 — Information security awareness | מומלץ — רלוונטי להוכחת מנגנוני הגנה סבירים |
| רישום ביקורת (Audit Logging) | חובה — שמירת לוגים לאיתור ולהוכחת אירועים | A.8.15, A.8.17 — Logging, clock synchronisation | חובה — תיעוד גישות למאגר מידע ופעולות בו |
| המשכיות עסקית (BCM) | חובה — תוכניות גיבוי, DR, BCP | A.5.29, A.5.30 — Business continuity, ICT readiness | מומלץ — להבטחת זמינות מאגרי מידע |
| ניהול סיכונים (Risk Management) | חובה — הערכת סיכונים תקופתית ומסמך מדיניות | Clause 6.1, A.5.7 — Risk assessment, threat intelligence | מומלץ — הוכחת "אמצעי אבטחה סבירים" |
מה מסתתר בטבלה: שמונת הנושאים שמופיעים כאן מכסים את עיקר העבודה המעשית בכל שלוש הרגולציות. ב-5 מתוך 8 — כל שלוש הרגולציות מחייבות דרישות זהות או דומות מאוד. זה אומר שאם תבנו תוכנית עבודה אחת ממוקדת, אתם מטפלים ברוב הדרישות בבת אחת.
NIS-2 — מה חייב לדעת ספק ישראלי
אם לקוח שלכם הוא "ישות חיונית" או "ישות חשובה" לפי NIS-2 — הוא מחויב לנהל את הסיכונים של שרשרת האספקה שלו. כלומר: אתם.
ישויות חיוניות לעומת ישויות חשובות
ישויות חיוניות (Essential Entities) הן גופים גדולים (500+ עובדים, מחזור 100M+ יורו) בסקטורים קריטיים: אנרגיה, תחבורה, בנקאות, תשתיות דיגיטליות, בריאות ומים. הקנסות עבורן: עד €10 מיליון או 2% מהמחזור.
ישויות חשובות (Important Entities) הן גופים בינוניים בסקטורים פחות קריטיים: דואר, ניהול פסולת, ייצור, מחקר, שירותים דיגיטליים. הקנסות: עד €7 מיליון או 1.4% מהמחזור.
לוחות הזמנים לדיווח אירועים
NIS-2 קבעה שלושה שלבים מחייבים לדיווח אירועי סייבר:
- Early Warning — תוך 24 שעות: דיווח ראשוני למרשות המוסמכת שאירוע "משמעותי" התרחש. אין צורך בפרטים מלאים — רק הודעה על קיום האירוע.
- Incident Notification — תוך 72 שעות: דיווח מפורט יותר הכולל הערכת חומרה, היקף ההשפעה, והאם האירוע נגרם ממתקפה מכוונת.
- Final Report — תוך 30 יום: דוח מלא הכולל סיבת שורש, השפעה, אמצעי תגובה שנוקטו ולקחים לעתיד.
אותם לוחות זמנים — 72 שעות — כבר הוטמעו גם בתיקון 13 הישראלי. כלומר: אם תבנו תהליך דיווח אחד שעומד בלוחות הזמנים של שתיהן, אתם מכסים שתי רגולציות בזמן אחד.
מלכודת שכיחה: חברות ישראליות רבות מניחות שאם אין ביקורת של הרגולטור האירופי — אין בעיה. אבל הבדיקה מגיעה מהלקוח, לא מהרגולטור. לקוח גדול שיחשוף שאין לכם תהליך תגובה מסודר עלול לשלוח Corrective Action Request (CAR) — ולתת לכם 90 יום להסדיר או לאבד את החוזה.
ISO 27001:2022 — הבקרות שמשפיעות הכי הרבה על IT
הגרסה של 2022 ארגנה מחדש את Annex A לארבעה נושאים. מבחינת IT operations, שלושה נושאים הם הדומיננטיים:
A.5 — בקרות ארגוניות (Organizational Controls)
37 בקרות המכסות את המדיניות, ניהול הזהויות, ניהול הסיכונים, ניהול ספקים ותכנון המשכיות. זה לב ה-ISMS (Information Security Management System). בלי A.5 מוסדר — אין ISO 27001. עיקר העבודה כאן הוא כתיבת מדיניות ונהלים ברורים וישימים, לא כאלה שיושבים בתיקייה ואף אחד לא קורא.
A.8 — בקרות טכנולוגיות (Technological Controls)
34 בקרות שהן הכי "מגעות" לצוות IT: ניהול נקודות קצה, הצפנה, ניהול פגיעויות, גיבוי, רישום ולוגים, אבטחת רשת, מסננים וסינון תקשורת, ניהול קוד מקור. A.8.7 (הגנה מ-malware), A.8.12 (מניעת דליפת נתונים / DLP) ו-A.8.15 (לוגים) הם המוקדים הנפוצים ביותר בביקורות.
A.6 — בקרות אנושיות (People Controls)
8 בקרות המכסות בדיקות רקע, תנאי העסקה, מודעות, הדרכה וניהול כוח אדם עוזב. בביקורות בישראל, A.6.3 (מודעות ואימון) ו-A.6.5 (אחריות עובדים עוזבים) הם שני המחדלים הנפוצים ביותר שמוצאים מבקרים חיצוניים.
לבדיקת שירותי אבטחת מידע של ITEAM — כולל vCISO, SIEM ו-MDR שתומכים ביישום ISO 27001.
תיקון 13 לחוק הגנת הפרטיות — מה השתנה ב-2025
תיקון 13 הוא הרפורמה הגדולה ביותר בחוק הגנת הפרטיות הישראלי מאז 1981. הוא נכנס לתוקף בשלבים: חלק מהסעיפים אכיף מיולי 2025, השאר מינואר 2026.
חובת הודעה על פרצת אבטחה
זו החידוש הדרמטי ביותר. לפני התיקון, לא הייתה חובה חוקית ברורה לדווח על פרצת אבטחה. עכשיו, ארגון שגילה פרצה "משמעותית" חייב להודיע לרשות להגנת הפרטיות (PPA) תוך 72 שעות מגילויה, ובמקרים מסוימים — גם לאנשים שמידע שלהם הודלף.
הרחבת הגדרות ועלייה בקנסות
התיקון הרחיב את הגדרות "בעל מאגר" ו"מחזיק מאגר", כך שחברות שעד כה יכלו לטעון שהן "רק עיבדו מידע" עבור אחרים — כעת כפופות לחובות נוספות. גובה הקנסות עלה, וכעת הרשות רשאית לקנוס גם ביקשות פלילית נגד מנהלים בדירג בכיר במקרי הפרה חמורה.
ממונה הגנה על פרטיות (DPO פנימי)
בדומה ל-GDPR, התיקון מחייב מינוי ממונה פרטיות פנימי בארגונים שמעבדים מידע רגיש בהיקף נרחב. ארגונים שמחזיקים מאגרי בריאות, פיננסים, מיקום, ביומטריה וכדומה — צריכים לבחון אם הדרישה חלה עליהם.
Roadmap ב-12 חודשים — ממה מתחילים
זה לוח הזמנים הריאלי לחברה של 100-300 עובדים שמתחילה מאפס. אם כבר יש לכם מדיניות כתובה — חלק מהשלבים מתקצרים.
| חודשים | שלב | תוצר מצופה | מוביל |
|---|---|---|---|
| 1-2 | Gap Analysis | מיפוי כל הפערים ביחס ל-ISO 27001, NIS-2 ותיקון 13. דו"ח ממצאים עם עדיפויות. | vCISO / יועץ חיצוני |
| 2-3 | Policy Drafting | כתיבת מדיניות אבטחת מידע, מדיניות גיבוי, מדיניות גישה, תוכנית IR, תסריט BCM. | CISO + IT + Legal |
| 3-5 | Technical Remediation | הטמעת בקרות טכניות: MFA, EDR, SIEM, גיבוי immutable, הצפנת נתונים, פילוח רשת, ניהול patch. | IT / MSP |
| 5-6 | Awareness Training | הדרכת כלל העובדים, סדנת tabletop exercise לניהול, הדרכה ממוקדת לצוות IT. | HR + CISO |
| 7-9 | Internal Audit | ביקורת פנימית על כל הבקרות. סגירת ממצאים. עדכון מסמכים. הכנת ה-Statement of Applicability. | Auditor פנימי / vCISO |
| 10-12 | External Audit / Certification | ביקורת Stage 1 (בדיקת תיעוד) ו-Stage 2 (בדיקת יישום) על ידי גוף מוסמך. קבלת תעודה. | BSI / Bureau Veritas / SGS |
על הלוח הזה להיות ריאלי: 12 חודשים הוא לוח זמן אגרסיבי אבל ישים אם מתחילים עם gap analysis מקיף ויש מוביל פנימי ברור. חברות שמתחילות ללא ניסיון קודם ומנסות לעשות הכל in-house נוטות להאריך ל-18-24 חודשים ולצבור חובות טכניים בדרך.
ראו גם: מה עושים כשתקיפת כופר פוגעת בעסק — שכן תוכנית IR ותוכנית BCM הן גם חלק ממה שתסדירו בתהליך.
טבלת סיכונים — אם לא עושים כלום
| תרחיש | השלכה | חומרה |
|---|---|---|
| לקוח אירופאי שולח שאלון NIS-2 ואין תשובה | הפסד עסקה או השהיית חוזה. לקוח גדול עלול לתת תקופת תיקון ואז לנתק. | גבוה |
| פרצת אבטחה ללא תהליך דיווח מסודר | הפרת תיקון 13 — קנס, ועלות תדמיתית גבוהה. אם הלקוח אירופאי — גם הפרת חוזה. | גבוה |
| מכרז ממשלתי ישראלי שדורש ISO 27001 | פסילה אוטומטית מהגשה. כ-30% מהמכרזים הממשלתיים הגדולים כוללים דרישה זו (2026). | גבוה |
| לא קיים תהליך IR — מתקפת כופרה | ממוצע downtime ללא IR מוכן: 21 יום. עם IR מוכן: 5-7 ימים. פערי עלות: מאות אלפי שקלים. | גבוה |
| ספק ישראלי שעובר מיזוג / רכישה | Due diligence מצד הרוכש יבדוק ציות. חוסר ISO 27001 עלול להוריד הערכת שווי ב-10-20%. | בינוני |
| הפרת חובת DPO (תיקון 13) | קנס אזרחי. בהפרה חמורה — חשיפה פלילית של מנהלים. הרשות להגנת הפרטיות פרסמה שתגביר אכיפה ב-2026. | בינוני |
תפקיד ה-MSP בתהליך הציות
חברה ישראלית של 100-300 עובדים לא תגייס צוות ציות מלא — זה יקר ומיותר. זה בדיוק איפה MSP עם יכולות אבטחה מדויקות נכנס לתמונה.
SIEM ו-MDR — רישום ואיתור מתמשך
NIS-2 ו-ISO 27001 מחייבים שמירת לוגים ויכולת גילוי חריגות. SIEM (Security Information and Event Management) מרכז לוגים מכל המקורות. MDR (Managed Detection and Response) מוסיף שכבת ניטור אנושי מעל הכלים. MSP שמנהל SIEM עבורכם מספק גם את הראיות לביקורת וגם את יכולת הגילוי המהיר.
גיבוי Immutable — הגנה מכופרה
BCM ו-NIS-2 מחייבים יכולת שחזור. גיבוי immutable (שלא ניתן לשינוי, מחיקה או הצפנה על ידי תוקף) הוא תנאי סף. MSP שמנהל גיבויים off-site עם בדיקות שחזור תקופתיות — מספק גם את הבקרה הטכנית וגם את התיעוד לביקורת.
Tabletop Exercises — תרגול ניהול משבר
ISO 27001 Clause 8.2 מחייב בדיקה תקופתית של תוכניות ה-IR וה-BCM. tabletop exercise — תרגול שולחן עם הנהלה בכירה — הוא הכלי המקובל. MSP שמנהל תרגולים אלו מספק גם ניסיון וגם תיעוד לביקורת.
vCISO — CISO ללא משרה מלאה
ISO 27001 דורש בעלות ברורה על ה-ISMS. עבור חברות מתחת ל-300 עובדים, vCISO — CISO במשרה חלקית, בדרך כלל 2-4 ימים בחודש — הוא הפתרון הנפוץ ביותר. הוא מנהל את תהליך הציות, מכין לביקורות, ומספק נקודת קשר לגופי הבדיקה.
תבניות מדיניות ונהלים
כתיבת כל מסמכי ה-ISMS מאפס לוקחת חודשים. MSP שעבד עם עשרות חברות על ISO 27001 מחזיק תבניות מוכחות שמסייעות לקצר משמעותית את שלב ה-Policy Drafting — מבלי לפגום בתהליך או ביכולת לעמוד בביקורת.
ראו גם: מדוע העובד הוא החוליה החלשה בסייבר — ואיך תכנית הדרכה מסודרת היא חלק מ-ISO 27001 A.6.3.
כמה זה באמת עולה — תקציב ריאלי לחברה של 100 עובדים
לא קיים מחיר קבוע — הוא תלוי בנקודת הפתיחה שלכם, בכמה בקרות טכניות כבר יש לכם, ובאיזה גוף מוסמך תבחרו. אבל אפשר לתת טווחים ריאליים:
- Gap Analysis ותוכנית עבודה: ₪15,000-₪35,000 (תלוי בעומק ובניסיון היועץ)
- כתיבת מדיניות ונהלים: ₪20,000-₪50,000 (תבניות קיימות מורידות משמעותית)
- הטמעת בקרות טכניות (EDR, SIEM, גיבוי immutable, MFA): ₪30,000-₪80,000 (תלוי מה קיים)
- הדרכות ו-tabletop exercises: ₪8,000-₪20,000
- ביקורת חיצונית וקבלת תעודה (Stage 1 + Stage 2): ₪25,000-₪60,000
- תחזוקה שנתית (surveillance audit + vCISO): ₪30,000-₪70,000 לשנה
סה"כ ראשוני: בין ₪100,000 ל-₪245,000 לתהליך השלם. ₪30,000-₪70,000 לשנה לשמירת התעודה.
מקרה לדוגמה (ייצוגי, ללא זיהוי): חברת SaaS ישראלית בינונית, כ-120 עובדים, מוכרת לגופים פיננסיים בגרמניה ובשוויץ. בתחילת 2024 קיבלה הודעה שחוזה חידוש בשווי מעל 10 מיליון שקל מותנה בהצגת ISO 27001 בתוך שנה. הם התחילו בגאפ אנליזה, מינו vCISO חלקי, בנו ISMS בשותפות עם MSP. עלות כוללת: כ-₪180,000. החוזה נחתם. הסיכום שלהם: "ה-ISO 27001 עלה לנו פחות מדמי הסוכן שהיינו משלמים להחליף את הלקוח הזה."
Gap Assessment חינם — 45 דקות עם יועץ סייבר בכיר
מוכנים לדעת איפה אתם עומדים?
45 דקות עם יועץ סייבר בכיר מ-ITEAM — נמפה את הפערים ביחס ל-NIS-2, ISO 27001 ותיקון 13, ונצא עם תוכנית עבודה ממוקדת. ללא עלות, ללא מחויבות.
קבלת Gap Assessment חינם