דלגו לתוכן
פרטיות22 באפריל 202611 דק׳ קריאה· עודכן: 3 ביולי 2026

דיווח אירוע פרצה לפי תיקון 13 — תהליך, לוחות זמנים ומסמכים

מה מדווחים, מתי, למי, ובאיזה פורמט. הסבר על ההבדל בין דיווח לרשות לבין הודעה לנושאי המידע, וטעויות נפוצות שיש להימנע מהן.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

פרצת מידע היא אחד הרגעים הבודדים שבהם ארגון נבחן בזמן אמת — מול התוקף, מול הרגולטור ומול הלקוחות, בו-זמנית. מאז כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף ב-14 באוגוסט 2025, המחיר של ניהול אירוע לקוי כבר איננו רק תדמיתי: לרשות להגנת הפרטיות יש סמכויות אכיפה ועיצומים כספיים, והדרך שבה טיפלתם באירוע — כולל השאלה אם דיווחתם בזמן ומה תיעדתם — היא בדיוק מה שייבחן בדיעבד. במדריך הזה נעבור על התהליך המלא: מה נחשב אירוע שמחייב דיווח, איך נראה ציר הזמן משעת הזיהוי ועד התחקיר, מי מחליט מה בתוך הארגון, מה כולל הדיווח לרשות, איך זה שונה מ-GDPR — ומה חייבים להכין מראש, כי באמצע אירוע כבר מאוחר מדי להתחיל.

בישראל אין חלון של 72 שעות

בניגוד ל-GDPR, הדין הישראלי לא מעניק מרווח זמן נקוב לדיווח. הדרישה היא לדווח לרשות להגנת הפרטיות ״ללא דיחוי״ — כלומר מיד כשהתגבשה ההבנה שמדובר באירוע החייב בדיווח, בלי להמתין לסיום החקירה. ארגון שמתייחס ל-72 שעות כאל ״רף ישראלי״ מסתכן בכך שהדיווח שלו ייחשב מאוחר.

מה נחשב ״אירוע אבטחה חמור״ שמחייב דיווח

נקודת המוצא היא תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, שקובעות לכל מאגר מידע רמת אבטחה — בסיסית, בינונית או גבוהה — לפי היקף הרשומות, רגישות המידע, מספר בעלי ההרשאה ומאפיינים נוספים. חובת הדיווח לרשות איננה חלה על כל תקלה או ניסיון תקיפה, אלא על אירוע אבטחה חמור — ומה נחשב ״חמור״ תלוי ברמת האבטחה של המאגר וברגישות המידע שבו.

  • במאגר ברמת אבטחה גבוהה — הרף נמוך יותר: אירוע שבו נעשה שימוש במידע מן המאגר בלא הרשאה או בחריגה מהרשאה, או שנפגעה שלמות המידע, ייחשב חמור גם אם נגע לחלק מהמידע בלבד.
  • במאגר ברמת אבטחה בינונית — נדרש שהאירוע ייגע לחלק מהותי מהמאגר: שימוש בלא הרשאה, חריגה מהרשאה או פגיעה בשלמות המידע בהיקף משמעותי.
  • רגישות המידע מטה את הכף. מידע רפואי, פיננסי, ביומטרי או מידע על צנעת חיים אישית מעלה את רמת האבטחה של המאגר מלכתחילה — ולכן גם מוריד את הרף לדיווח בפועל.

המשמעות המעשית: אי אפשר לענות על השאלה ״האם אנחנו חייבים לדווח?״ בלי לדעת מראש מהי רמת האבטחה של כל מאגר בארגון. ארגון שלא סיווג את מאגריו יגלה שהוא מנסה לבצע ניתוח משפטי-רגולטורי בסיסי בשעה שלוש לפנות בוקר, תוך כדי אירוע פעיל. זה אחד המקומות שבהם היערכות מוקדמת שווה יותר מכל טכנולוגיה. חשוב גם לזכור: גם אירוע שאינו חוצה את רף הדיווח לרשות עדיין מחייב תגובה, תיעוד והפקת לקחים פנימית — חובת ניהול אירועי האבטחה ותיעודם חלה באופן רחב יותר מחובת הדיווח.

ציר הזמן של אירוע — משעת הזיהוי ועד התחקיר

אירוע פרצה מנוהל היטב נע על ציר צפוי. השלבים חופפים בחלקם — בלימה טכנית ודיווח רגולטורי מתרחשים במקביל, לא בזה אחר זה — אבל הסדר הלוגי חשוב, כי כל שלב מזין את הבא אחריו:

  1. זיהוי ואימות. התראה ממערכת ניטור, פנייה של עובד, הודעת סחיטה או דיווח חיצוני. השלב הראשון הוא לאמת שמדובר באירוע אמיתי, לקבוע חומרה ראשונית ולהפעיל את נוהל התגובה — כולל פתיחת יומן אירוע מתועד עם חותמות זמן מהדקה הראשונה.
  2. בלימה ראשונית. ניתוק או בידוד מערכות נגועות, ביטול הרשאות חשודות, החלפת סיסמאות וחסימת ערוצי הגישה של התוקף. קריטי: בולמים בלי להשמיד ראיות — מבודדים מכונות במקום לפרמט אותן, ושומרים לוגים והעתקים פורנזיים.
  3. הערכת היקף ורגישות. אילו מאגרים נפגעו, אילו סוגי מידע, כמה נושאי מידע, והאם המידע דלף החוצה או רק היה חשוף. זו ההערכה שעליה נשענת החלטת הדיווח — והיא לא חייבת להיות מושלמת כדי להתקדם.
  4. החלטת דיווח. על בסיס רמת האבטחה של המאגר והיקף הפגיעה: האם זהו אירוע אבטחה חמור? ההחלטה מתקבלת בפורום מוגדר מראש (ראו בפרק הבא), מתועדת בכתב — כולל הנימוקים — גם אם ההחלטה היא שלא לדווח.
  5. דיווח לרשות להגנת הפרטיות — ״ללא דיחוי״. אם האירוע חייב בדיווח, מדווחים מיד, על בסיס מה שידוע באותו רגע, ומעדכנים בהמשך ככל שהתמונה מתבהרת. דיווח ראשוני חלקי ומהיר עדיף על דיווח מלא ומאוחר.
  6. יידוע נושאי המידע. כאשר קיים חשש שהאירוע יגרום נזק משמעותי לנושאי המידע — למשל חשיפת מידע רפואי או פיננסי, סיכון לגניבת זהות או להונאה — עולה חובת יידוע. בפועל, ברוב המקרים היידוע נעשה לפי הוראת הרשות ובתיאום עמה לגבי אופן ההודעה ותוכנה.
  7. תחקיר, הפקת לקחים ותיעוד. אחרי שהאירוע נבלם: תחקיר שורש, עדכון בקרות ונהלים, ודוח אירוע מסודר. חובת התיעוד של אירועי אבטחה עומדת על חמש שנים — והתיעוד הזה הוא קו ההגנה שלכם בכל בירור עתידי מול הרשות, מבטחים או בתי משפט.

מי מחליט מה — חלוקת תפקידים בשעת אירוע

אירועים לא נכשלים בגלל חוסר בכלים טכנולוגיים; הם נכשלים כי לא ברור מי מחליט. שעה של ויכוח על סמכויות באמצע אירוע עולה יותר מכל השקעה במניעה. חלוקת התפקידים צריכה להיות כתובה בנוהל, עם ממלאי מקום מוגדרים:

  • מנכ״ל / הנהלה. האחריות הכוללת על ניהול האירוע וההחלטות העסקיות הכבדות: השבתת מערכות ייצור, פנייה ללקוחות מרכזיים, אישור תקציב חירום. המנכ״ל לא מנהל את הטכני — אבל החלטת הדיווח וההודעה לנושאי מידע צריכות לעבור דרכו.
  • ממונה הגנת הפרטיות (DPO) / ממונה אבטחת מידע. הציר המקצועי של האירוע מול הרגולציה: מסווג את האירוע מול רף ״אירוע חמור״, מגבש את המלצת הדיווח, מנסח את הדיווח לרשות ומרכז את התיעוד. בארגון שמינה ממונה חיצוני — זה בדיוק הרגע שבו הוא מוכיח את ערכו.
  • יועץ משפטי. בוחן את חובות הדיווח המצטברות — לרשות, לנושאי מידע, לרגולטורים ענפיים ולצדדים חוזיים — ומוודא שהתקשורת החוצה לא יוצרת חשיפה מיותרת. מומלץ שיהיה מעורב מהשעות הראשונות, לא רק בניסוח הסופי.
  • IT / צוות אבטחה (פנימי או חיצוני). הבלימה, החקירה הפורנזית והשחזור. תפקידם גם לספק להנהלה תמונת מצב עובדתית בשפה עסקית — מה נפגע, מה בסיכון, מה כבר בלום — כדי שההחלטות יתקבלו על בסיס עובדות ולא פאניקה.
  • דובר / גורם תקשורת. באירועים עם חשיפה ציבורית — מסר אחיד ומאושר מראש. עובדים צריכים לדעת לאן להפנות פניות, ולא לאלתר תשובות מול לקוחות או עיתונאים.
״בכל אירוע אמיתי שליווינו, ההבדל בין ארגון שיצא מזה בסדר לארגון שנפגע קשה לא היה ברמת האבטחה ערב האירוע — אלא בשאלה אם היה ברור, בשעה הראשונה, מי מרים טלפון למי ומי מוסמך להחליט.״
מתוך ניסיון מוקד התגובה של Cybertis

מה כולל הדיווח לרשות להגנת הפרטיות

הדיווח לרשות איננו חיבור ספרותי — הוא מסמך עובדתי, וטוב שכך: באמצע אירוע אין זמן לניסוחים. הדיווח צריך לשקף את מה שידוע בזמן הגשתו, ולכלול בעיקרו:

  • מהות האירוע ונסיבותיו — מה קרה, איך התגלה, מתי (ככל הידוע) התרחש ומתי זוהה, ומהו וקטור התקיפה המשוער.
  • סוגי המידע המעורבים — האם מדובר במידע מזהה בסיסי, מידע פיננסי, רפואי, ביומטרי או אחר, ומהי רגישותו.
  • היקף הפגיעה — הערכת מספר הרשומות ונושאי המידע שנפגעו, ואילו מאגרים מעורבים.
  • הפעולות שננקטו — צעדי הבלימה, החקירה והשיקום שבוצעו ואלה המתוכננים, כולל אם נעזרתם בגורם מקצועי חיצוני.
  • פרטי איש קשר — גורם מוסמך בארגון להמשך התכתובת מול הרשות, לרוב הממונה על הגנת הפרטיות.

שני דגשים חשובים. ראשית, הרשות רשאית להורות לכם על צעדים נוספים — ובראשם יידוע נושאי המידע — ולכן הדיווח הוא תחילתו של דיאלוג, לא סופו. שנית, לארגונים מסוימים יש חובות דיווח מקבילות: מגזרי הבריאות והפיננסים כפופים לרגולטורים ענפיים שעשויים לדרוש דיווח נפרד ובלוחות זמנים משלהם, וארגון שמעביר מידע לחו״ל או מעבד מידע של תושבי האיחוד האירופי עשוי להיות חייב בדיווח גם לפי GDPR — שם חלון 72 השעות כן קיים. את מפת חובות הדיווח המלאה של הארגון שלכם צריך לשרטט מראש, לא במהלך האירוע.

ישראל מול GDPR — השוואה מהירה

הרבה ארגונים ישראליים מכירים את כללי ה-GDPR ומניחים שהדין הישראלי מקביל. ההנחה הזו מסוכנת דווקא בנקודת הדיווח:

נושאישראל (תיקון 13 + תקנות אבטחת מידע)GDPR
מועד דיווח לרגולטור״ללא דיחוי״ — אין מועד שעות נקוב; ההמתנה עצמה היא הסיכוןעד 72 שעות מרגע המודעות לאירוע, ככלל
מה מדווחיםאירוע אבטחה חמור — לפי רמת האבטחה של המאגר ורגישות המידעכל פרצה לנתונים אישיים, אלא אם אין סבירות לסיכון לנושאי המידע
יידוע נושאי מידעכשקיים חשש לנזק משמעותי — לרוב לפי הוראת הרשות ובתיאום עמהכשקיים סיכון גבוה לזכויות ולחירויות — חובה ישירה של הארגון
תיעוד אירועיםחובת תיעוד אירועי אבטחה למשך 5 שניםחובת תיעוד כל פרצה, ללא תקופה נקובה — כחלק מעקרון האחריותיות
מי הרגולטורהרשות להגנת הפרטיות, ולעיתים גם רגולטור ענפי (בריאות, פיננסים)רשות הפיקוח המובילה במדינה הרלוונטית באיחוד

חמש טעויות שחוזרות כמעט בכל אירוע

  1. לחכות ״עד שנדע הכול״. הטעות הנפוצה והיקרה ביותר. הדרישה הישראלית היא דיווח ללא דיחוי — והחקירה המלאה של אירוע יכולה להימשך שבועות. מדווחים מוקדם על בסיס הידוע, ומעדכנים. דיווח מאוחר ״כי רצינו תמונה מלאה״ הוא בדיוק הנרטיב שרגולטור לא מקבל.
  2. להתייחס ל-72 שעות כאל רף ישראלי. אין כזה רף. מי שבנה את הנוהל שלו סביב שעון של 72 שעות מיישם דין זר — ועלול לגלות שבישראל הוא כבר באיחור.
  3. למחוק ראיות בשלב הבלימה. פירמוט שרת נגוע, מחיקת לוגים או ״ניקוי״ תחנות לפני איסוף פורנזי הורסים את היכולת להבין מה באמת נפגע — ובלי זה אי אפשר להעריך היקף, לנסח דיווח אמין או להתגונן בהמשך. בולמים על ידי בידוד, לא על ידי השמדה.
  4. לא ליידע את חברת הביטוח. פוליסות סייבר כוללות כמעט תמיד חובת הודעה מוקדמת ותנאים על בחירת ספקי תגובה. ארגון שמנהל אירוע שלם ורק אז פונה למבטח עלול לגלות שהכיסוי בסכנה. שיחת ההודעה למבטח שייכת לשעות הראשונות.
  5. נוהל שקיים רק על הנייר. נוהל תגובה שאיש לא תרגל, עם רשימת אנשי קשר לא מעודכנת ובעלי תפקידים שכבר עזבו — שווה מעט מאוד בשעת אמת. ההבדל בין נוהל כתוב לנוהל מתורגל הוא ההבדל בין מסמך לבין יכולת.

מה מכינים מראש — ערכת המוכנות

כל מה שתיארנו עד כאן מתנקז לעיקרון אחד: כמעט את כל ההחלטות הקשות של אירוע פרצה אפשר לקבל מראש, בשקט, בלי תוקף על הרשת. ערכת מוכנות סבירה כוללת:

  • נוהל תגובה לאירוע — קצר, מעשי, בעברית, עם שלבי הפעולה, סיווג חומרות, ומטריצת החלטה לדיווח לפי רמת האבטחה של כל מאגר. נוהל של שלושים עמודים שאיש לא קורא גרוע מנוהל של חמישה שכולם מכירים.
  • רשימת קשר עדכנית — בעלי תפקידים פנימיים וממלאי מקומם, ממונה הגנת הפרטיות, יועץ משפטי, ספק תגובת חירום (IR), איש הקשר בחברת הביטוח — כולל טלפונים אישיים, ועותק שזמין גם כשהמערכות מושבתות.
  • תבניות מוכנות — טיוטת דיווח לרשות להגנת הפרטיות, טיוטת הודעה לנושאי מידע, מסרים פנימיים לעובדים ותבנית יומן אירוע. באמצע אירוע ממלאים שדות, לא כותבים מאפס.
  • סיווג מאגרים עדכני — רמת האבטחה של כל מאגר לפי תקנות אבטחת מידע, כדי שהחלטת ״האם זה אירוע חמור?״ תהיה בדיקה מול טבלה ולא מחקר משפטי בלחץ זמן.
  • תרגול שולחני שנתי — סימולציה של שעתיים עם ההנהלה: תרחיש כופרה או דליפה, והליכה על הנוהל צעד-צעד. תרגול אחד חושף בדרך כלל יותר פערים מכל ביקורת מסמכים.
לא בטוחים איזו רמת אבטחה חלה עליכם?

סקר הסיכונים האונליין שלנו נותן בחמש דקות אינדיקציה לרמת האבטחה שחלה על המאגרים שלכם, לחובות שנגזרות ממנה ולפערים הדחופים — כולל מוכנות לתרחיש פרצה. חינם ובלי התחייבות.

השורה התחתונה

דיווח פרצה בישראל הוא לא טופס — הוא מבחן של מוכנות ארגונית. הדין דורש דיווח ״ללא דיחוי״, יידוע נושאי מידע כשקיים חשש לנזק משמעותי, ותיעוד שיחזיק חמש שנים; אף אחת מהדרישות האלה לא ניתנת לביצוע טוב על ידי ארגון שפוגש אותן לראשונה תוך כדי אירוע. החדשות הטובות: ערכת מוכנות מלאה — נוהל, סיווג מאגרים, רשימת קשר, תבניות ותרגול — היא פרויקט של שבועות בודדים. ההשקעה הזו היא שקובעת אם האירוע הבא שלכם יסתיים בדוח תחקיר מסודר, או בהליך אכיפה.

אירוע פעיל? מוקד התגובה של Cybertis מעניק מענה תוך 4 שעות — בלימה, ליווי מול הרשות להגנת הפרטיות וניהול האירוע מקצה לקצה. ואם אין אירוע — זה הזמן הנכון לבנות את המוכנות.

למוקד התגובה לאירועים

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי. סיווג אירוע, החלטת דיווח ויידוע נושאי מידע מחייבים בחינה פרטנית של הנסיבות, ובמקרים המתאימים — התייעצות עם עורך דין המתמחה בהגנת הפרטיות.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il