הוצאת תקנות ביקורת טכנית לחתימות אלקטרוניות ושירותים מהימנים: הבטחת בטיחות ושיפור האמון במרחב הדיגיטלי

החוזר מהווה בסיס משפטי חשוב לתקינה של תהליכי ביקורת טכנית, תוך הבטחת עמידה בתקנים טכניים ואבטחת מידע במערכות וארגונים המספקים ומשתמשים בחתימות אלקטרוניות, ובכך תורם לחיזוק האמון של אנשים, עסקים וסוכנויות ניהול בסביבת העסקאות הדיגיטלית.

בהתאם לתקנות, חוזר זה חל על ארגונים ויחידים המשתתפים או קשורים לפעילויות ביקורת טכנית עבור מערכות מידע, תהליכים למתן שירותי חתימה אלקטרונית מאובטחים, תעודות חתימה אלקטרונית מאובטחות, חתימות דיגיטליות, תעודות חתימה דיגיטלית ושירותים מהימנים אחרים.

בפרט, סוכנויות וארגונים היוצרים ומשתמשים בחתימות אלקטרוניות מאובטחות מעודדים לבצע באופן יזום ביקורות טכניות כדי להעריך את התאימות והבטיחות של המערכות ותהליכי אספקת השירותים שלהם. זהו צעד חשוב, המדגים את רוח המניעה היזומה של סיכוני אבטחת סייבר במקום לטפל רק באירועים כאשר מתרחשות הפרות.

ספקי שירותים מהימנים נדרשים לערוך ביקורות טכניות כל שנתיים כדי להבטיח שמערכות ותהליכי אספקת השירותים מתוחזקים במצב בטוח ויציב ועומדים בדרישות הטכניות בהתאם לתקנים הלאומיים.

על פי החוזר, הבסיס להערכת ביקורת טכנית הוא הדרישות הספציפיות למערכות מידע ולתהליכי מתן שירותים המפורטות בתקנות טכניות, תקנים טכניים ודרישות טכניות החלות על חתימות אלקטרוניות, תעודות אלקטרוניות ושירותים מהימנים.

פעילויות ביקורת טכנית מתבצעות בשני שלבים עיקריים: הערכת מידע ומסמכים במהלך תהליך התכנון והערכה בפועל בארגון המבוקר. כל התוכן חייב להיות אובייקטיבי, שקוף, בהתאם לתוכנית ולהיקף שסוכמו מראש.

משך הזמן המרבי לביקורת הוא 6 חודשים, ובמידת הצורך ניתן להאריכו עד 45 ימים להשלמת פעולות מתקנות. לאחר השלמתן, בהתבסס על תוצאות ההערכה ופעולות מתקנות (אם קיימות), ארגון הביקורת ישקול הנפקת תעודה עם דוח ביקורת טכני לארגון המבוקר. אם הדרישות לא ימולאו, ארגון הביקורת חייב להודיע ​​בכתב, תוך ציון הסיבות ולצרף את דוח הביקורת הטכנית.

החוזר מפרט גם את התוכן המחייב בדוח הביקורת הטכנית, לרבות: מידע כללי על הביקורת, זמן ביצוע, שיטת הערכה, תוצאות ניתוח סיכוני אבטחת מידע, תוצאות בדיקות מערכת, המלצות טכניות ובסיס להחלטות הסמכה.

ספקי שירותים מהימנים חייבים לשלוח דוחות ביקורת טכניים למשרד המדע והטכנולוגיה , דרך מרכז האימות האלקטרוני הלאומי (NEAC), מוקד הסינתזה, הניטור והשירות של עבודת ניהול המדינה.

דיווח קבוע לא רק מסייע בהערכת המצב התפעולי של ספקי שירותים מהימנים, אלא גם יוצר מסד נתונים מאוחד לקביעת מדיניות, ניהול סיכונים ותומך בסוכנויות מדינה בשיפור האיכות והבטיחות של תשתית העסקאות הדיגיטליות הלאומית.

החוזר קובע כי גופי ביקורת טכנית אחראים למימוש זכויותיהם וחובותיהם בהתאם להוראות החוק בנוגע לתקנים ותקנות טכניים; הבטחת עצמאות, אובייקטיביות ועמידה מלאה בהליכי ביקורת טכנית בהתאם לתקנות בנושא איכות מוצרים וסחורות ואבטחת מידע ברשת.

הוועדה הלאומית לתקנים, מטרולוגיה ואיכות תחת משרד המדע והטכנולוגיה היא מוקד קבלת והערכת תיקי רישום לצורך מינוי ארגוני ביקורת טכנית והגשתם לשר המדע והטכנולוגיה לצורך קבלת החלטה על מינוי ארגונים מוסמכים בהתאם לחוק התקנים והאיכות.

בינתיים, המרכז הלאומי לאימות אלקטרוני אחראי על קבלת ועיבוד דוחות ביקורת טכניים מארגונים מבוקרים, ומדווח מעת לעת לשר המדע והטכנולוגיה כדי לשרת את הנהלת המדינה במתן שירותים אמינים.

פרסום החוזר בנושא ביקורת טכנית של חתימות אלקטרוניות ושירותים מהימנים נחשב לצעד חשוב בהשלמת המסדרון המשפטי הלאומי בנושא אבטחת מידע, אימות אלקטרוני וטרנספורמציה דיגיטלית.

החוזר תורם לתקינה של מערכת ההערכה העצמאית, חיזוק בקרת הסיכונים, שיפור האוטונומיה הטכנולוגית ויצירת אמון דיגיטלי עבור משתמשים בתהליך ביצוע עסקאות, חתימה וחילופי נתונים אלקטרוניים.

החוזר ייכנס לתוקף החל מ-1 בינואר 2026, ומסמן צעד חדש קדימה בניהול הטכני והבטחת הבטיחות והאמינות של תשתית החתימה האלקטרונית הלאומית, לקראת המטרה של בניית ממשלה דיגיטלית, כלכלה דיגיטלית וחברה דיגיטלית בטוחות, שקופות ובעלות פיתוח בר-קיימא.