בשבועות האחרונים התמלא סדר יומה של הכנסת בדיונים מרתוניים, הצבעות ליליות ומאבקים פוליטיים סביב מה שכונה “בליץ החקיקה”. מרבית תשומת הלב הציבורית הופנתה להצעות חוק שעוררו מחלוקת ציבורית חריפה, אך דווקא הצעת חוק אחת, שנוגעת כמעט לכל אזרח בישראל, נותרה הרחק מאור הזרקורים. לא מפני שהיא שולית, אלא מפני שהיא עוסקת באיום שאינו נראה לעין. האיום הזה נמצא בסלון, בחדר הילדים, ליד דלת הכניסה, במטבח ואפילו במכונית. הוא מסתתר בתוך המצלמה החכמה, המנעול הדיגיטלי, הטלוויזיה, המזגן, שואב האבק הרובוטי והשעון שעל פרק כף היד.
מדובר בהצעת חוק הגנת הסייבר הלאומית. נכון לאמצע חודש יולי 2026 היא עברה קריאה ראשונה בלבד, וטרם הובאה לאישור בקריאה השנייה והשלישית. אילו הייתה משלימה את הליך החקיקה, הייתה זו הפעם הראשונה שבה הייתה למדינת ישראל מסגרת חוקית מקיפה המסדירה את סמכויות המדינה בתחום הסייבר, את חלוקת האחריות בין הרגולטורים ואת ההגנה על תשתיות, שירותים דיגיטליים וארגונים החיוניים למשק. אולם מעבר לחשיבותה המוסדית, הצעת החוק מסמלת סיפור רחב בהרבה. זהו סיפורה של מדינה שהבינה כבר לפני שמונה שנים לאן העולם הולך, אך עדיין מתקשה להדביק את קצב ההתפתחות הטכנולוגית.
כדי להבין כיצד הגענו לנקודה הזאת צריך לחזור ליום שני, 19 בפברואר 2018. ועדת המדע והטכנולוגיה של הכנסת קיימה אז דיון שכמעט לא זכה לכותרות. הנושא נשמע טכני למדי: הסיכונים במוצרי האינטרנט של הדברים. אלא שמאחורי הכותרת הסתתרה מהפכה של ממש. מצלמות אבטחה, טלוויזיות חכמות, מנעולים אלקטרוניים, מערכות אזעקה, צעצועים מחוברים לרשת, שעונים חכמים, כלי רכב ומכשירי חשמל החלו להפוך ממוצרים פשוטים למחשבים קטנים המחוברים באופן קבוע לאינטרנט. כל אחד מהם אוסף מידע, משדר מידע ומקבל פקודות מרחוק.
יושב ראש הוועדה, חבר הכנסת אורי מקלב, הזהיר כבר אז כי המדינה אינה יכולה להמשיך להסתפק בהמלצות ובהסברה. לדבריו, נדרש גוף ממשלתי שיתכלל את הטיפול בתחום, יפקח על השוק ויאכוף דרישות אבטחה. הוא התריע כי לא ייתכן שמכשירי אבטחה עצמם יהיו חשופים לפריצות, מבלי שקיימת כתובת ממשלתית אחת האחראית על הנושא.
הדברים שנשמעו באותו דיון היו חריגים אף יותר כאשר קובי הירש, נציג מערך הסייבר הלאומי, הזהיר מפני ההשלכות האפשריות של מתקפות על מוצרי אינטרנט של הדברים. לדבריו, אין מדובר רק בפגיעה בפרטיות או בגניבת מידע. תוקף עלול להשתלט מרחוק על מערכות ברכב חשמלי, לגרום לתאונת דרכים, או להפעיל מכשירים ביתיים באופן שיסכן חיי אדם. באותם ימים הדברים נשמעו כמעט כמו תסריט של סרט מדע בדיוני. כיום הם נחשבים לתרחישים מוכרים בכל דיון מקצועי בתחום הסייבר.
חברת הכנסת רויטל סויד התריעה כי הציבור כלל אינו מבין את הסיכון. היא דרשה שמוצרים יגיעו כשהם מוגנים כברירת מחדל, וקראה להגביר את המודעות הציבורית בעקבות שורת אירועים שבהם נפרצו מצלמות פרטיות ותיעוד אינטימי דלף לרשת. באותו דיון העלו גם נציגי הרשות להגנת הפרטיות, איגוד האינטרנט הישראלי והמכון הישראלי לדמוקרטיה טענה משותפת אחת: החקיקה הישראלית מפגרת אחרי המציאות.
במבט לאחור קשה שלא להתרשם עד כמה האזהרות הללו היו מדויקות.
בשנת 2018 היו מוצרים חכמים בעיקר נחלתם של חובבי טכנולוגיה. בשנת 2026 הם הפכו לחלק בלתי נפרד מחיי היומיום. כמעט כל בית כולל היום מצלמות אבטחה, טלוויזיה חכמה, מערכת מיזוג הנשלטת באמצעות יישומון, עוזר קולי, מכשירי חשמל מחוברים לרשת, שואב אבק רובוטי, רמקולים חכמים ולעיתים גם מנעול חכם או פעמון דלת עם מצלמה. כל אחד מהמכשירים האלה אוסף מידע. חלקם מתעדים תמונה וקול, אחרים מתעדים זמני כניסה ויציאה מהבית, הרגלי שימוש, נתוני מיקום או מידע רפואי. כאשר כל הנתונים הללו מתחברים יחד, מתקבלת תמונה אינטימית ביותר של חיי המשתמש.
בשנים שלאחר הדיון בכנסת בחרה המדינה בגישה מדורגת. בשלב הראשון פורסמו המלצות בלבד. מערך הסייבר הלאומי קרא לציבור להחליף סיסמאות ברירת מחדל, לעדכן גרסאות תוכנה, להעדיף יצרנים המתחייבים לספק עדכוני אבטחה ולבחון היטב את הרשאות הגישה של כל מכשיר. הרשות להגנת הפרטיות פרסמה מדריכים ומסמכי הסברה שעסקו בשמירה על פרטיות במוצרים חכמים ובבתים חכמים.
בשנת 2022 חל שינוי ראשון בגישת המדינה. משרד הכלכלה והרשות להגנת הצרכן הנהיגו חובת גילוי המחייבת ליידע את הצרכן כי מוצרים חכמים עלולים להיות חשופים למתקפות סייבר ולפגיעה בפרטיות. הייתה זו התקדמות חשובה, אולם היא לא חייבה את היצרן לשפר את אבטחת המוצר. היא רק חייבה אותו ליידע את הצרכן על עצם קיומו של הסיכון.
בשנת 2023 הרחיבה הרשות להגנת הפרטיות את פעילותה ופרסמה מסמך מדיניות מקיף בנושא מוצרי אינטרנט של הדברים. במסמך נקבע כי יצרנים וחברות חייבים לאמץ את עקרון הפרטיות כבר בשלב התכנון, לצמצם את איסוף המידע, להגביר את השקיפות ולוודא שהמידע נשמר בצורה מאובטחת. המסמך שיקף תפיסה חדשה שלפיה אבטחת סייבר אינה רק עניין טכנולוגי, אלא חלק בלתי נפרד מהזכות לפרטיות.
שנת 2025 הייתה נקודת מפנה נוספת. תיקון מספר 13 לחוק הגנת הפרטיות נכנס לתוקף והעניק לרשות להגנת הפרטיות סמכויות אכיפה רחבות בהרבה. לראשונה הוטלו עיצומים כספיים משמעותיים על ארגונים המפרים את הוראות החוק, ונקבעו חובות חדשות בתחום ניהול מאגרי מידע ואבטחתם. באותה שנה פרסם גם מערך הסייבר הלאומי מסמך המלצות לאומי שבחן כיצד יש להסדיר את שוק מוצרי האינטרנט של הדברים בישראל.
אלא שגם לאחר כל אלה נותר פער משמעותי. כל אחד מהצעדים עסק בחלק אחר של הבעיה. אחד עסק בפרטיות, אחר באבטחת מידע, שלישי בזכויות צרכנים ורביעי במדיניות ממשלתית. אולם עדיין לא נוצרה מסגרת אחת, ברורה ומחייבת, הקובעת מהו מוצר חכם מאובטח ומהם התנאים שבהם מותר לשווקו בישראל.

על רקע זה הגיעה שנת 2026.
בחודש ינואר פרסם מערך הסייבר הלאומי את תזכיר חוק הגנת הסייבר הלאומית. בחודש מאי הפכה היוזמה להצעת חוק ממשלתית, וביום 8 ביוני אישרה הכנסת את ההצעה בקריאה הראשונה. מדובר באחד מחוקי הסייבר החשובים ביותר שנוסחו בישראל מאז הקמת מערך הסייבר הלאומי.
מטרת החוק היא להסדיר לראשונה בחקיקה ראשית את פעילות מערך הסייבר, להגדיר את סמכויות המדינה בהתמודדות עם מתקפות סייבר, לקבוע מנגנוני שיתוף מידע בין הרשויות לבין גופים מפוקחים ולהטיל חובות על ארגונים המספקים שירותים חיוניים למשק. החוק גם מבקש להסדיר את פעילותם של ספקי שירותים דיגיטליים וספקי שירותי ענן, הנמצאים כיום בלב הפעילות של אינספור מוצרים חכמים.
אולם למרות חשיבותו, החוק עדיין אינו מעניק תשובה מלאה לשאלה שהעסיקה את ועדת המדע והטכנולוגיה כבר בשנת 2018. הוא אינו קובע שכל מצלמה ביתית חייבת להימכר עם סיסמה ייחודית. הוא אינו מחייב כל יצרן להצהיר במשך כמה שנים יספק עדכוני אבטחה. הוא אינו מטיל חובה אחידה על כלל מוצרי האינטרנט של הדברים המיובאים לישראל. הוא מסדיר בראש ובראשונה את אחריות המדינה ואת הגנת המשק, ולא את תקינתו של כל מוצר צריכה.
גם העולם אינו המתין לישראל. בריטניה כבר החלה בשנת 2024 לאכוף דרישות מחייבות למוצרי צריכה מחוברים, ובהן איסור על סיסמאות ברירת מחדל, חובת פרסום תקופת התמיכה במוצר ומנגנון מסודר לדיווח על חולשות אבטחה. האיחוד האירופי אימץ את חוק חוסן הסייבר, המטיל אחריות רחבה על יצרני מוצרים דיגיטליים לאורך כל מחזור החיים שלהם. בשני המקרים הרעיון פשוט. האחריות לאבטחת המוצר מוטלת בראש ובראשונה על מי שמייצר ומשווק אותו, ולא על הצרכן.
בישראל עדיין מוטלת חלק ניכר מהאחריות על המשתמש עצמו. הוא זה שנדרש להחליף סיסמאות, לעדכן תוכנה, לבדוק הרשאות, לקרוא את תנאי השימוש ולהבין אילו נתונים נאספים עליו. אלא שהמשימה הזאת כמעט בלתי אפשרית. רוב הצרכנים אינם מסוגלים לדעת אם מצלמה מסוימת מקבלת עדכוני אבטחה, אם השרת שאליו היא מתחברת מאובטח, או אם החברה שמייצרת אותה תמשיך לתמוך בה גם בעוד שלוש שנים.
אולי דווקא משום כך בולטת העובדה שהצעת חוק הגנת הסייבר הלאומית טרם השלימה את הליך החקיקה. בשעה שחוקים אחרים התקדמו במהירות במסגרת מושב הכנסת האחרון, החוק הזה נותר בשלב שבין הקריאה הראשונה לבין הדיונים בוועדה. הוא אינו חלק מן המחלוקת הפוליטית הגדולה של התקופה, אך חשיבותו לציבור עשויה להיות גדולה לא פחות.
שמונה שנים לאחר אותו דיון בוועדת המדע והטכנולוגיה קשה לומר שהמדינה התעלמה מן הבעיה. היא פרסמה הנחיות, חיזקה את דיני הפרטיות, הרחיבה את סמכויות האכיפה וקידמה חקיקת סייבר רחבה. אך באותה מידה קשה לומר שהמשימה הושלמה. הבית הישראלי הופך חכם יותר משנה לשנה, ואילו המסגרת המשפטית עדיין משלימה את צעדיה הראשונים.
ייתכן שבעוד כמה שנים נביט לאחור על שנת 2026 ונאמר שזו הייתה השנה שבה ישראל סוף סוף הסדירה את תחום הסייבר. אך נכון לעכשיו, זו עדיין השנה שבה ההבטחה לחקיקה מקיפה קיימת, בעוד שהחוק עצמו ממתין להשלים את דרכו. ובדיוק משום כך, אם היה חוק אחד שהיה ראוי להיכלל באותו מרוץ חקיקה אינטנסיבי של הקיץ האחרון, זה כנראה היה החוק הזה.

עדיין אין תגובות!