קידום אסדרה לאומית והובלה ממשלתית בהגנת הסייבר

בהמשך להחלטת הממשלה מספר 3611 מיום 07.08.2011 בנושא "קידום היכולת הלאומית במרחב הקיברנטי" (להלן – החלטה 3611), בהתאם לתפיסה הלאומית להגנת הסייבר, לטובת העלאה שיטתית ורציפה של רמת ההגנה במרחב הסייבר במדינת ישראל ובכפוף להחלטת הממשלה מספר 2118 מיום 22.10.2014:
לקדם אסדרה לאומית בהגנת הסייבר ולפעול להובלה ממשלתית בהגנת הסייבר כחלק מיישום האסדרה הלאומית וכמהלך של דוגמה לציבור ולמשק.
החלטה זו לא תחול על הגופים המיוחדים כפי שהוגדרו בהחלטה 3611 ועל פעולות גופים אלה באמצעות משרדי הממשלה במסגרת תפקידם.
הגדרות:

• שוק שירותי הגנת הסייבר – חברות, יצרנים, ספקים, מוסדות הכשרה והסמכה ובעלי מקצוע העוסקים בהספקת ידע, מוצרים ושירותים בהגנת הסייבר לארגונים.
• מגזר – כלל הגופים הפועלים במסגרת תחום מקצועי של משרד ממשלתי ובמסגרת אחריותו הרגולטורית.

1. בתחום האסדרה הלאומית בהגנת הסייבר:

א. לאמץ את עקרונות תפיסת האסדרה הלאומית בהגנת הסייבר (להלן – תפיסת האסדרה) שגיבש המטה הקיברנטי הלאומי (להלן – המטה), הכוללת את אסדרת שוק שירותי הגנת הסייבר לצד אסדרת היערכות הארגונים במשק בתחום זה כמפורט בנספח א' שלהלן.
ב. בהתאם לתפיסה, לקבוע כי אסדרת היערכות הארגונים במשק בתחום הגנת הסייבר תיעשה מתוך כוונה שלא להוסיף למשק עוד רגולטורים, אלא באמצעות העצמה של הרגולטורים הקיימים וזאת באמצעות מגוון הכלים העומדים לרשותם וחיזוק כלים אלה ככל הנדרש על מנת להעלות את רמת החוסן של המגזר האזרחי לאיומי סייבר, ובכלל זה באמצעות היערכות וכשירות.
ג. להטיל על המטה להקים יחידה שייעודה להסדיר את שוק שירותי הגנת הסייבר, לרבות אנשי מקצוע, שירותים ומוצרים, וזאת בהתאם לתפיסת האסדרה ובכפוף לכל דין כמפורט בנספח ב' שלהלן. היחידה תוקם במסגרת הרשות הלאומית להגנת הסייבר שעתידה לקום במשרד ראש הממשלה בכפוף להחלטת ממשלה (להלן – הרשות הלאומית להגנת הסייבר).
ד. להטיל על המטה לבחון בניית תשתית לבדיקות ולאישור מוצרי הגנת הסייבר, לרבות בחינה של הקמה והפעלה של מעבדה לצורך כך כמפורט בנספח ג' שלהלן.
ה. להטיל על המנכ"לים של משרדי הממשלה שבמסגרתם מופעלות סמכויות רגולציה כלפי גופים או פעילויות החשופים לאיומי סייבר, לקדם את הטיפול בהיערכות לאיומי סייבר במסגרת המגזר שבו הם פועלים כדלקמן:

1) להקים יחידה להכוונה מקצועית בתחום הגנת הסייבר כמפורט בנספח ד' שלהלן, זאת בהתאם לסמכויות הרגולציה המופעלות על ידם או במסגרתם.
2) לפעול לקידום הגדרת המדיניות ודרישות האסדרה ליישום החלטה זו במסגרת המגזר שעליהם הם אחראים.
3) לבצע, בתיאום עם המטה, עבודת מטה שתוגש לראש הממשלה, הבוחנת את התיקונים והשינויים הנדרשים מבחינה משפטית למימוש אפקטיבי של האמור.
במגזרים שבהם יותר ממשרד ממשלתי אחד האחראי להפעלת סמכויות רגולציה ביחס לגופים או לפעילויות, להטיל על ראש המטה לקבוע את המשרד המוביל לעניין פעילות זו.

ו. להנחות את מנכ"ל משרד הכלכלה, בתיאום עם המטה ומשרד האוצר, להציג לממשלה בתוך 120 יום מיום קבלת החלטה זו תכנית להפעלת מנגנוני סיוע ותמרוץ לארגונים במשק שיפעלו להעלאת רמת המוכנות לאיומי סייבר, כפי שיוגדר בתכנית.
ז. להטיל על הלשכה המשפטית במשרד ראש הממשלה והמטה, בשיתוף משרד המשפטים, להכין תזכיר לחוק, אשר יוגש על ידי ראש הממשלה, ולרכז את תיקוני החקיקה הנדרשים ליישום האמור בתוך 180 יום מיום קבלת החלטה זו.

2. בתחום ההובלה הממשלתית בהגנת הסייבר:

א. להקים יחידה להגנת הסייבר בממשלה (להלן – יה"ב) שייעודה להוות גוף הכוונה והנחיה מקצועית בתחום הגנת הסייבר עבור כלל משרדי הממשלה ויחידות הסמך, למעט הגופים המיוחדים, ולהקים מרכז שליטה ובקרה ממשלתי למול איומי סייבר (להלן – ה-SOC ממשלתי), כמפורט בנספח ה' שלהלן.
ב. להטיל על המנכ"לים של משרדי הממשלה ומנהלי יחידות הסמך לפעול לשיפור רמת הגנת הסייבר ולשם כך –  למנות ממונה הגנת הסייבר, להקים ועדת היגוי משרדית, להסדיר את אנשי המקצוע בתחום הגנת הסייבר המועסקים במשרד, להקצות תקציב ייעודי להגנת הסייבר במסגרת התקציב הקיים של המשרד ולקדם עמידה של המשרד בתקני אבטחת מידע ארגוניים כמפורט בנספח ו' שלהלן.
ג. להטיל על מנהל הרכש הממשלתי ועל המנכ"לים של משרדי הממשלה, לפי העניין, להטמיע במסגרת הליך הרכש המרכזי או במסגרת הליך הרכש המשרדי, דרישות הולמות בתחום הגנת הסייבר כמפורט בנספח ז' שלהלן.
ד. להטיל על ראש המטה להקים ועדת היגוי לקידום ההובלה הממשלתית בהגנת הסייבר (להלן – ועדת ההיגוי הממשלתית) ולגבש מנגנוני סיוע למשרדי הממשלה למימוש פתרונות טכנולוגיים מתקדמים לצרכים ייחודיים כמפורט בנספח ח' שלהלן.
ה. להטיל על יה"ב לעקוב אחר קיום האמור בסעיפים 2(ב)-2(ג) בהחלטה זו, ולדווח על כך לוועדת ההיגוי הממשלתית.

3. להטיל על המטה ועל משרד הביטחון לקיים עבודת מטה שבמסגרתה ייבחן האם ובאיזה אופן תוחל החלטה זו על משרד הביטחון ויחידותיו, בשים לב לאופי פעילותו של משרד הביטחון, לסמכויותיו הייחודיות ולכללי הרכש שלפיהם הוא פועל.

4. פעילות בינלאומית של הרשות הלאומית להגנת הסייבר בתחום הגנת הסייבר, הרלוונטית להחלטה זו, תתקיים בתיאום ובשיתוף משרד החוץ, בהתאם לצורך.

נספח א' – עיקרי תפיסת האסדרה הלאומית בהגנת הסייבר
1. מטרת האסדרה: העלאה שיטתית ורציפה של רמת הגנת הסייבר במדינת ישראל באמצעות מימוש סטנדרטים מקצועיים בארגונים, וכן הסדרה של שוק שירותי הגנת הסייבר (אנשי מקצוע, שירותים ומוצרים) במגוון כלים.
2. פעילות האסדרה הלאומית עוסקת בעיקר בשכבה הראשונה בתפיסה הלאומית להגנת הסייבר, כמפורט בהחלטת הממשלה מס' 2444 מיום 15.2.2015  בנושא "קידום ההיערכות הלאומית להגנת הסייבר".
3. האסדרה תוכן כך שתיקח בחשבון את ההיבטים הבאים:

א. האסדרה תאמץ, ככל האפשר, רעיונות, תכניות ופעילויות מוצלחות שנעשו בעולם תוך התאמתם למציאות הישראלית.
ב. האסדרה תסתמך, במידה רבה, על תקינה בינלאומית.
ג. האסדרה תקיים שותפות והתעדכנות בתהליכי פיתוח רגולציה בעולם.
ד. האסדרה תהיה מידתית.
ה. האסדרה תאפשר, במקרים מסוימים, מרחב גמישות למגזרים ולארגונים על מנת לממש ייעודם.
ו. האסדרה תמנף ותסתייע בגורמים הקיימים הפועלים בתחום אבטחת המידע והגנת הסייבר.
ז. האסדרה תגדיר רמות שונות של הגנה והסמכה ותיצור מנגנונים להתאמה והלימה ביניהן, לדוגמה בארגונים שבהם נדרשת הגנה ברמה גבוהה יועסקו חברות הנותנות שירותי הגנת הסייבר שהוסמכו לרמה זו.
ח. האסדרה תניע, תאפשר ותעודד פעילויות רצויות בתחום במשק הישראלי כגון הכשרות, שיתוף מידע ופעילויות פנים-מגזריות, ולא תבלום את היזמות ואת פוטנציאל היצוא.
ט. האסדרה תאפשר ותציע נגישות לכלים ולמתודות לשימוש ארגוני.

4. האסדרה תתמקד בארגונים ובמערכותיהם כך שיתקיימו הנושאים הבאים:

א. בארגונים יעבדו אנשי המקצוע המתאימים.
ב. הארגונים יקבלו שירותים מקצועיים ברמת האיכות המתאימה להם.
ג. במערכות הארגון יוטמעו מוצרים מאושרים ומתאימים.
ד. הארגונים יפעלו בהתאם לתקינה מתאימה הן בהיבט     הארגוני-תהליכי והן בהיבט הטכנולוגי להגנת המערכות הממוחשבות שלהם.

נספח ב' –  יחידה להסדרת שוק שירותי הגנת הסייבר

הגדרות:

"Common Criteria" – תקן (ת"י 15408 ISO) העוסק באישור ובהסמכת מוצרי אבטחת מידע והגנת הסייבר בהתאם לדרישות מוגדרות ולתהליך הכולל בדיקות מעבדה מוסמכת. אישור והסמכת המוצרים מתבצעים בהתאם למדרג של רמות בדיקה.

1. ייעוד: הסדרה של שוק שירותי הגנת הסייבר במדינת ישראל.
2. תפקידים

א. בתחום אנשי המקצוע – לקדם את העמידה בסטנדרטים המקצועיים של אנשי המקצוע ושל מוסדות ההכשרה וההסמכה בתחום הגנת הסייבר באמצעות עיסוק בנושאים הבאים ובחינה עתית שלהם בהתאם לעקרונות שייקבעו על ידי המטה בשים לב ל"דו"ח הוועדה הציבורית להגדרת מקצועות ההגנה בסייבר" (להלן – הדו"ח):

1) הגדרת תחומי הידע הנדרשים למקצועות הגנת הסייבר.
2) בחינה של מסלולי ההכשרה וההסמכה.
3) שיתופי פעולה עם מוסדות ההכשרה וההסמכה.
4) מתן חוות דעת ואישורים מקצועיים ביחס לעמידה של מסלולי ההכשרה וההסמכה ושל אנשי המקצוע בדרישות המקצועיות.
5) הסמכת אנשי המקצוע ומסלולי ההכשרה וההסמכה, בכפוף לכל דין.

ב. בתחום המוצרים – הקמה והפעלה של מנגנון לאישור מוצרי הגנת הסייבר לעמידה בתקנים, כגון תקן Common Criteria, ובכלל זה:

1) בניית סכמה לאומית בהתאם לתקן, לבדיקה ולאישור מוצרי הגנת הסייבר בישראל, זאת בתיאום עם המטה.
2) קבלת בקשות לאישור מוצרים, לרבות מיצרנים.

3) הפניית בקשות בדיקה למעבדות מוסמכות.
4) הנפקת אישורים למוצרים העומדים בדרישות.

ג. בתחום השירותים – לקדם את העמידה בסטנדרטים מקצועיים של חברות הייעוץ ושירותי הגנת הסייבר (להלן – ספקי השירות) ובכלל זה:

1) הגדרת השירותים הנדרשים להסדרה.
2) קביעת מדרג איכות לכל שירות.
3) קביעת הדרישות המקצועיות לעמידה ברמות השונות של מדרג האיכות לכל שירות.
4) מתן חוות דעת ואישורים ביחס לעמידה של ספקי השירות בדרישות המקצועיות שהוגדרו לרמת האיכות של השירות הניתן על ידם.
5) הסמכה של ספקי השירות, בהתאם לסוג השירות ולרמתו המקצועית, ובקרה על כך, בכפוף לכל דין.

3. כוח אדם ותקציב

א. היחידה תוקם במסגרת הרשות הלאומית להגנת הסייבר וסמכויותיה יעוגנו בחקיקה בהתאם לצורך, כאמור בסעיף 1(ז) להחלטה זו.
ב. תקני היחידה יסוכמו בין המטה לבין משרד האוצר ונציבות שירות המדינה כחלק מהרשות הלאומית להגנת הסייבר.

4. ההסדרה תבוצע תוך בחינת חלופות למימוש ובהתייעצות עם גופים ומשרדים רלוונטיים. היבטי אסדרת המקצועות ופעילות בעלת השפעה על עסקים קטנים ובינוניים יתואמו עם משרד הכלכלה.

נספח ג' –  קידום בניית תשתית מדינתית לאישור מוצרי הגנת הסייבר

1. המטה יבחן הקמה והפעלה בישראל של מעבדה שייעודה בדיקות ואישורים של מוצרי הגנת הסייבר בהתאם לתקן Common Criteria, ובאופן שתוצריה יוכרו בעולם.
2. החלטה על הקמה והפעלה של מעבדה, לרבות התקציב למימוש, יסוכמו בין המטה לאגף התקציבים במשרד האוצר.
3. המטה ומשרד הכלכלה יקדמו במשותף סיוע ליצרנים שהינם עסקים קטנים ובינוניים בהתאם להגדרות משרד הכלכלה, המעוניינים לעמוד בתקן Common Criteria.

התקציב לטובת מענקי הסיוע יתוקצב ממקורות המטה בין השנים 2019-2015.

נספח ד' – יחידות להכוונה מקצועית מגזרית בתחום הגנת הסייבר במשרדי הממשלה

1. ייעוד: הכוונה והנחיה מקצועית בתחום הגנת הסייבר בהתאם לסמכויות הרגולציה המופעלות על ידי המשרד הממשלתי או במסגרתו.
2. כפיפות

א. היחידה תפעל בכפיפות למשרד הממשלתי שאליה היא שייכת.
ב. היחידה תפעל בהנחיה מקצועית של הרשות הלאומית להגנת הסייבר.

3. תפקידים

א. הכוונה והנחיה בהיבטי הגנת הסייבר, לרבות הגדרת המדיניות ודרישות האסדרה, ליווי מקצועי שוטף ומענה לפניות מקצועיות, בהתאם למאפיינים של הגופים אשר ביחס אליהם מתבצעת הפעילות (להלן – המגזר). ככל שיידרש, בנושאים שחל עליהם החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – החוק), ובנושאים שחל עליהם חוק הגנת הפרטיות,   התשמ"א-1981, תתבצע ההנחיה בתאום עם הגורם המוסמך לפי חוקים אלה.
ב. בקרת ביצוע הדרישות המקצועיות בהתאם לאסדרה וברמה המקצועית הנדרשת, לרבות הכרת הפערים והצורך בהתאמות.
ג. בנייה והפעלה של תהליכי שיתוף מידע פנימיים וחיצוניים בתוך המגזר, לרבות דיווח אודות אירועים, איומים, חולשות, פוגענים ונוזקות למרכז לסיוע בהתמודדות עם איומי סייבר (להלן –     ה-CERT הלאומי) וכן הגדרת נהלי ושיטות הדיווח בין הגופים במגזר.
ד. ייזום ומימוש פעילות רוחבית, לרבות הקמת תשתיות והפעלת מנגנונים, שתכליתם שיפור הגנת הסייבר במגזר.

4. כוח אדם ותקציב

א. המטה יסווג, בתוך 90 יום מיום קבלת החלטה זו, את היקף הפעילות הנדרשת של המשרדים בתחום הגנת הסייבר, בהתאם לנזק הפוטנציאלי כתוצאה מפגיעה במערכות הממוחשבות של הגופים במגזרם, זאת בהתאם לקטגוריות: גדול, בינוני, קטן.
ב. בהתאם לסיכום בין המטה לבין נציבות שירות המדינה, המשרדים יאיישו את התפקידים האמורים לעיל, בהתאם למפתחות המפורטים להלן:

ג. במשרדים המבצעים כיום הנחיה מקצועית בתחום הגנת הסייבר של גופי מגזר, הקצאת כוח האדם, כאמור בנספח זה, תיעשה כהשלמה לאמור ועל פי הצורך תוך מניעת כפילויות ובתאום עם אגף התקציבים במשרד האוצר.
ד. מקורות לטובת איוש התפקידים:

1) איוש התפקידים יבוצע באמצעות תקני כוח אדם ועובדים ממיקור חוץ למשרדי הממשלה.
2) תקציב בשנים 2016-2015 – התקציב לאיוש התפקידים יתבסס על מקורות המטה בסכום שלא יעלה על 500 אלש"ח בשנה לתפקיד.
3) תקציבי השנים 2019-2017 – מחצית מהתקציב תתוקצב ממקורות המטה ומחציתו ממקורות המשרד הממשלתי הרלוונטי. המטה ישתתף בתקציב עד לתקרה של 500 אלש"ח בשנה ליועץ.
4) המטה יבחן בעוד 5 שנים מקבלת החלטה זו את מנגנון איוש ותקצוב התפקידים.

ה. התקצוב כאמור ייעשה על מנת לאפשר עמידה בלוחות הזמנים של האיוש המפורטים להלן אשר הינם באחריות המנכ"לים של משרדי הממשלה:

1) איוש משרת מנהל היחידה עד תום המחצית הראשונה של שנת 2015.
2) איוש יתר המשרות במשרדים שסווגו בהיקף פעילות בינוני או גדול יבוצע בתיאום בין המטה לבין כל אחד מהמשרדים.

5. בקרה: להטיל על המטה לבצע בקרה על יישום נספח זה.

6. המטה, נציבות שירות המדינה ומשרד האוצר בסיכום ביניהם יהיו רשאים לשנות את המפתחות המפורטים בסעיף 4(ב).

נספח ה' – הובלה ממשלתית בהגנת הסייבר – היחידה להגנת הסייבר בממשלה ומרכז שליטה ובקרה ממשלתי למול איומי סייבר

1. ייעוד היחידה להגנת הסייבר בממשלה (להלן – יה"ב): הכוונה והנחיה מקצועית בתחום הגנת הסייבר עבור כלל משרדי הממשלה ויחידות הסמך.
2. כפיפות

א. יה"ב תפעל בכפיפות לממונה על התקשוב הממשלתי.
ב. יה"ב תפעל בהנחיה מקצועית של הרשות הלאומית להגנת הסייבר.

3. תפקידים

א. הכוונה והנחיה של משרדי הממשלה ויחידות הסמך בהיבטי הגנת הסייבר, לרבות בתחומים הבאים:

1) מיפוי מושאי ההגנה.
2) ניהול סיכונים.
3) הכנת תכנית להגנת הסייבר והקצאת משאבים למימושה.
4) גיבוש מדיניות ארגונית, נהלים ושיטות עבודה.
5) היערכות להתמודדות עם אירועים, לרבות ניהול אירועים, תהליכי התאוששות ושיקום.

ככל שיידרש, בנושאים שחל עליהם החוק להסדרת הביטחון בגופים ציבוריים, התשנ"ח-1998 (להלן – החוק), ובנושאים שחל עליהם חוק הגנת הפרטיות, התשמ"א-1981, תתבצע ההנחיה בתאום עם הגורם המוסמך לפי חוקים אלה. כמו כן, ככל הניתן, ההנחיה תיעשה בשים לב לצרכים ולמאפיינים הייחודיים של משרדי הממשלה ויחידות הסמך.

ב. בקרת ביצוע הדרישות המקצועיות בהתאם להכוונה ולהנחיה.
ג. בניית תהליכי שיתוף מידע בתוך הממשלה' לרבות דיווח         ל-CERT הלאומי.
ד. ייזום פעילות רוחבית ומימושה.
ה. מעקב אחר קיום הדרישות לעניין ההובלה הממשלתית בהגנת הסייבר, ודיווח לוועדת ההיגוי הממשלתית כמפורט בנספח ח' שלהלן.

4. כוח אדם ותקציב
לשם הקמת היחידה, תקצה רשות התקשוב הממשלתי 2 תקנים בשנת 2015 ממקורותיה, ומשרד האוצר יקצה 2 תקנים בשנת 2015 ו-3 תקנים בשנת 2016 בהתאם לסיכום עם משרד ראש הממשלה. תנאי ההעסקה של עובדי היחידה יסוכמו בין רשות התקשוב הממשלתי לבין הממונה על השכר במשרד האוצר, בתיאום עם המטה ונציבות שירות המדינה. כמו כן, יקצה משרד האוצר ליחידה תקציב בסך 1.5 מלש"ח לשנת 2015, 2 מלש"ח לשנת 2016, 0.5 מלש"ח לשנת 2017, ותקציב שוטף בסך 4 מלש"ח החל משנת 2017.
מרכז שליטה ובקרה ממשלתי למול איומי סייבר
5. להטיל על המטה ועל יה"ב להקים ביחד מרכז שליטה ובקרה ממשלתי למול איומי סייבר (להלן – ה-SOC הממשלתי) אשר יעסוק בגיבוש תמונת מצב ממשלתית שוטפת בהיבטי הגנת הסייבר ומתן מענה לטיפול באירועי סייבר.
6. להקים את ה-SOC הממשלתי במסגרת ה-CERT הלאומי על בסיס תשתיותיו הטכנולוגיות והאופרטיביות ותוך בניית יכולות ייעודיות לממשלה.
7. להנחות את משרדי הממשלה, ובכללם את ממשל זמין, להעביר         ל-SOC הממשלתי דיווחים הקשורים בהגנת הסייבר, לרבות אירועים, איומים, חולשות, פוגענים ונוזקות.
8. תקצוב ה-SOC הממשלתי יסוכם בין המטה, רשות התקשוב הממשלתי ומשרד האוצר.

נספח ו' – הובלה ממשלתית בהגנת הסייבר – פעילות לקידום
הגנת הסייבר במשרדי הממשלה

הגדרות:
"ת"י 27001ISO " – תקן ישראלי שאומץ מתקן ISO בינלאומי העוסק במיסוד מערכת לניהול אבטחת מידע ארגונית ולתהליך השוטף של הקמת המערכת ושיפורה השיטתי.
1. מינוי ממונה הגנת הסייבר במשרד ממשלתי

א. המנכ"לים של משרדי הממשלה ימנו בכל משרד ממשלתי בעל תפקיד האחראי על הגנת הסייבר במשרד (להלן – ממונה הגנת הסייבר). בעל תפקיד זה יפעל בכפיפות ישירה למנכ"ל או מטעמו.

1) תפקיד הממונה ימולא, ככל הניתן, על ידי בעל תפקיד בדרג ניהולי קיים.
2)  בכל משרד ממשלתי ימונה ממונה אחד בלבד לשם מניעת כפילויות.

ב. תפקיד ממונה הגנת הסייבר:

1) גיבוש מדיניות הגנת הסייבר במשרד בהתאם לתהליך ניהול סיכונים ארגוני.
2) בניית תכנית עבודה להגנת הסייבר על פי המדיניות.
3) ניתוח והערכה שוטפים של תכנית הגנת הסייבר והמדיניות בהתאם לצרכים, לאיומים ולמענים, וכן של ההיערכות הארגונית להתמודדות עם אירועי סייבר.
4) גיבוש תכנית תקציבית לטיפול בהגנת הסייבר ולניהולה השוטף.
5) בקרה על יישום וניהול הגנת הסייבר בהיבט הארגוני הרחב ובהתאם למדיניות.

ג. גורם זה יהיה נציג המשרד בוועדת ההיגוי הממשלתית (אם המשרד מיוצג בוועדת ההיגוי) כמפורט בנספח ח' להחלטה זו.
ד. מנהלי יחידות הסמך במשרד הממשלתי ימנו, בתיאום עם המשרד הממשלתי ועם יה"ב, ממונה הגנת הסייבר ביחידת הסמך או לחילופין אחראי הגנת הסייבר. אם יוחלט כי ימונה אחראי הגנת הסייבר, הוא יפעל בכפיפות מקצועית לממונה הגנת הסייבר של המשרד הממשלתי.

2. הסדרת מינוי אנשי המקצוע בתחום הגנת הסייבר המועסקים בממשלה ועל ידי הממשלה

א. ועדת ההיגוי הממשלתית תגדיר בתוך 120 יום את הדרישות להעסקת אנשי מקצוע בתחום הגנת הסייבר בממשלה ועל ידי הממשלה. זאת בהתאם לעקרונות שייקבעו על ידי המטה בשים לב לדו"ח. דרישות אלו יתוקפו מעת לעת על ידי ועדת ההיגוי הממשלתית.
ב. בתוך 90 יום מהגדרת הדרישות על ידי ועדת ההיגוי הממשלתית, יבחנו המשרדים את מידת עמידתם של המועסקים אצלם בתחום הגנת הסייבר בדרישות. מיפוי זה יוגש לוועדת ההיגוי הממשלתית.
ג. המשרדים ימנו מנהל הגנת הסייבר ביחידת מערכות המידע (להלן – המנהל):

1) המנהל יעמוד בדרישות שייקבעו על ידי ועדת ההיגוי הממשלתית כאמור לעיל.
2) המנהל יהיה כפוף ישירות למנמ"ר ויפעל בהתאם להנחיות מקצועיות של יה"ב בהיבטי הגנת הסייבר.

ד. כל עובד חדש שיועסק בתחום הגנת הסייבר בממשלה יעמוד בדרישות המקצועיות שהוגדרו לעיל.
ה. ועדת ההיגוי הממשלתית תגדיר את שלבי היישום של הדרישות המקצועיות, ובכלל זה ביצוע הכשרות והשתלמויות מקצועיות, כך שבתוך חמש שנים, לכל היותר, כלל העובדים העוסקים בתחום הגנת הסייבר בממשלה יעמדו בדרישות המקצועיות. חריגים יאושרו על ידי ועדת ההיגוי הממשלתית בלבד.

3. הקמת ועדת היגוי משרדית

א. הוועדה תפעל לשיפור רמת הגנת הסייבר של המשרד, לרבות הפעילויות המפורטות בהחלטה זו, ותפקח על הפעילות השוטפת המבוצעת במשרד בנושא זה.
ב. ראש הוועדה: מנכ"ל המשרד הממשלתי, חברים בה: נציגים בכירים במשרד בעלי אחריות לתחום הגנת הסייבר, לרבות אחריות בהיבטים טכנולוגיים, אבטחתיים ותפעוליים, מנהל התקציבים, מנהל משאבי אנוש, יועץ משפטי, נציג יה"ב ונציגים נוספים לפי שיקול דעתו של המנכ"ל.
ג. הוועדה תתכנס לכל הפחות פעם בחציון.

4. הקצאת תקציב ייעודי להגנת הסייבר במסגרת התקציב הקיים של משרדי הממשלה

א. המנכ"לים של משרדי הממשלה ומנהלי יחידות הסמך, במסגרת סמכותם ואחריותם הקיימת, יסדירו את מבנה התקציב השנתי של משרדם כך שלכל הפחות 8% מתקציב תחום טכנולוגיית המידע יופנה להגנת הסייבר.
ב. מנכ"ל משרד ממשלתי או מנהל יחידת הסמך, לפי העניין, יוכל בנסיבות מיוחדות לאשר הפחתה מהאמור בהחלטה מפורטת ומנומקת שתדווח לוועדת ההיגוי הממשלתית כמפורט בנספח ח' להחלטה זו, ובלבד שלפחות 6% מתקציב תחום טכנולוגיית המידע יופנה להגנת הסייבר.
ג. בתום שנתיים ממועד החלטה זו, ועדת ההיגוי הממשלתית תבחן את הצורך בהעלאת אחוז התקציב הייעודי להגנת הסייבר.

5. עמידה של משרדי הממשלה וגופיה בתקני אבטחת מידע ארגוניים

א. המנכ"לים של משרדי הממשלה יגדירו בתוך 120 יום מיום קבלת החלטה זו תכנית מדורגת להטמעה, התעדה והסמכה לתקן אבטחת מידע ארגוני ממשפחת ת"י 27001 ISO, כמפורט להלן:

1) מטה המשרד ומחוזות המשרד – בתוך שנתיים. ועדת ההיגוי הממשלתית  מוסמכת להאריך את התקופה האמורה בשנה נוספת.
2) גופים נוספים במשרד – בהתאם לתכנית עבודה רב-שנתית, שתגובש בתוך שנתיים, לביצוע בתוך חמש שנים לכל היותר.

ב. תכנית ההסמכה תוגש לאישור ועדת ההיגוי הממשלתית, כמפורט בנספח ח' להחלטה זו, בתוך 120 יום מיום החלטה זו. אחריות ביצוע התכנית המאושרת תחול על המנכ"לים של משרדי הממשלה.
ג. משרדי הממשלה ידווחו מדי שנה לוועדת ההיגוי הממשלתית על יישום התכנית ולא יאוחר מיום 30 ביוני בכל שנה אזרחית.
ד. המטה יקדם הליך תחרותי לשירותי ייעוץ שילוו את משרדי הממשלה באופן מקצועי פרטני במימוש תכנית היישום ויתקצב את הפעלתם.

נספח ז' – הובלה ממשלתית בהגנת הסייבר – רכש

1. רכש ממשלתי של שירותים ושל מוצרי הגנת הסייבר מאושרים בהתאם לתקינה

א. המטה יקים תת ועדה בהשתתפות נציגים מהחשב הכללי, יה"ב, שירות הביטחון הכללי ומשרד הכלכלה, שתגבש מתווה ועקרונות בנוגע לאופן רכישת שירותים ומוצרים תוך שימוש בתקינת אבטחת מידע (כגון Common Criteria) במערכות הממשלתיות, בתוך 180 יום מיום קבלת החלטה זו.
ב. מנהל הרכש הממשלתי והמנכ"לים של משרדי הממשלה, לפי העניין, אחראים לכך שרכש שירותים ומוצרים בתחום הגנת הסייבר יבוצע בהתאם למתווה ולעקרונות שיגובשו על ידי תת הוועדה. ועדת ההיגוי הממשלתית, כמפורט בנספח ח', תוכל לאשר חריגים לאמור.

2. דרישות לעמידה בתקני אבטחת מידע ארגוניים כתנאי לרכש מגורמים המעבירים מידע ממוחשב אל הממשלה או ספקים של מערכות מחשוב 

א. גורמים המעבירים מידע ממוחשב או ספקים של מערכות מחשוב, המוטמעות או מקושרות למערכות מחשוב ממשלתיות, המבקשים למכור לממשלה שירותים הקשורים בכך, יחויבו לעמוד בתקן אבטחת מידע ארגוני ממשפחת ת"י 27001 ISO, החל מתום שנתיים להחלטה זו. יה"ב תוכל להאריך התקופה האמורה במקרים פרטניים לתקופה של שנה נוספת.
ב. הטיפול בחריגים, מעבר להארכת תקופת היישום בשנה נוספת, יתואם בין המטה, יה"ב ומנהל הרכש הממשלתי.
ג. ככל הנדרש, יבוצעו תיקונים בתקנות חובת המכרזים ובהוראות התכ"מ ליישום האמור.

נספח ח' – הובלה ממשלתית בהגנת הסייבר – מנגנוני ניהול, תיאום וסיוע

1. הקמת ועדת היגוי ממשלתית לקידום ההובלה הממשלתית בהגנת הסייבר (להלן – הוועדה)

א. הוועדה תפעל לקידום רמת הגנת הסייבר במשרדי הממשלה וביחידות הסמך בהתאם למפורט בנספחים ה', ו', ז' להחלטה זו, ותפקח על הפעילות השוטפת המבוצעת בנושאים אלו מתוך ראייה כוללת של קידום ההובלה הממשלתית בהגנת הסייבר.
ב. ראש הוועדה: ראש המטה הקיברנטי הלאומי.
ג. נציגי הוועדה ממשרדי ממשלה: ממוני הגנת הסייבר, כמפורט בנספח ו', ממשרדי התשתיות הלאומיות, האנרגיה והמים, התקשורת, הבריאות, התחבורה והבטיחות בדרכים, האוצר, הכלכלה, החוץ, הפנים, ביטחון הפנים וכן נציגי המטה הקיברנטי הלאומי, החשב הכללי ואגף התקציבים במשרד האוצר, יה"ב, נציבות שירות המדינה, שירות הביטחון הכללי והרשות למשפט, טכנולוגיה ומידע במשרד המשפטים. ראש הוועדה יוכל להוסיף נציגים נוספים על פי שיקול דעתו.
ד. ועדה זו תתכנס לכל הפחות פעם ברבעון.
ה. הוועדה תדווח לממשלה על פעילותה, ההתקדמות והפערים ביישום אחת לשנה.

2. גיבוש מנגנוני סיוע למשרדי הממשלה למימוש פתרונות טכנולוגיים מתקדמים לצרכים ייחודיים

א. המטה יקים תת ועדה בהשתתפות יה"ב, שירות הביטחון הכללי ומשרד האוצר למיפוי צרכים ייחודיים במשרדי הממשלה בתחום הגנת הסייבר ולגיבוש מנגנוני סיוע לפיתוח, להצטיידות ולהטמעת פתרונות טכנולוגיים מתקדמים לצרכים אלו.
ב. תקציב לסעיף זה יוקצה ממקורות המטה.