לאחרונה עודכן המדריך לעמידה בתנאי היתר הרעלים בתחום הסייבר בתעשייה. זהו עדכון שלישי למסמך שפורסם לראשונה לפני כשנה ומיועד לבעלי היתר רעלים הנדרשים ליישם הגנת סייבר על מערכות ממוחשבות המטפלות בחומרים מסוכנים, שפגיעה בהן עלולה לגרום לאירוע חומ"ס שיוביל לפגיעה ברצפטור ציבורי.

המשרד להגנ"ס עתיד להחיל בשנים הקרובות את הרגולציה באופן הדרגתי על כ-500 מפעלים באמצעות תנאים בהיתר הרעלים. בשנת 2020, השנה הראשונה ליישום הרגולציה, 20 מפעלים קיבלו את הדרישה בהיתר הרעלים. בשנים הבאות התכנון הוא הוספת תנאי הסייבר לכ-150 עד 200 מפעלים בשנה.

מדריך הסייבר נכתב ע"י יחידת הסייבר בתעשייה במשרד להגנת הסביבה והוא מפרט את ההנחיות לביצוע סקר סיכוני סייבר ויישום הפערים שמתגלים בסקר.

כתבות רלוונטיות:

1. מדריך סייבר הנחיות לעסקים בעלי היתר רעלים, 15/1/2020
2. טיוטה מעודכנת של הוראות לבעלי היתר רעלים להגנת סייבר, 01/1/2019
3. מענק ממשלתי בהיקף 10 מיליון ₪ להגנה ממתקפות סייבר, 17/9/2018
4. מידע נוסף על היתר רעלים | infospot

העדכונים: ממונה סייבר, מדיניות סייבר, ייעוץ חיצוני

כאמור, גרסה סופית ראשונה של המדריך פורסמה לפני כשנה, אך מאז היו מספר עדכונים, כולל עדכון אחרון לפני מספר שבועות. הנה חלק מהסעיפים שנוספו למדריך הסייבר מאז פרסומו הראשון:

• ממונה סייבר במפעל (5.1.1): בעל היתר הרעלים ימנה תוך 60 יום מקבלת תנאי הסייבר בהיתר הרעלים, ממונה סייבר שיהיה מופקד על מימוש ויישום התנאים. ממונה הסייבר ישמש, בין היתר כאיש הקשר מול יחידת הסייבר בתעשייה במשרד להגנ"ס.
• מדיניות סייבר למפעל (5.1.2): בעל היתר הרעלים נדרש לגבש מסמך מדיניות אבטחת מידע והגנת סייבר המגדיר את יעדי האבטחה, התהליכים הניהוליים, אמצעי המימוש, עקרונות ליישום האבטחה, מחויבות הנהלת העסק לתהליך העלאת חוסן העסק בסייבר, כולל הקצאת ותקצוב משאבים וקביעת נהלי עבודה, לרבות נוהל לניהול אירועי סייבר.
• נוסף פרק 'תוצרים נדרשים' (7.1-7.4) לאחר סיום סקר סיכוני הסייבר שכולל:
  • דרישה לתצהיר בעל היתר הרעלים אודות ביצוע הערכת סיכוני סייבר בעסק.
  • דרישה לביצוע אנליזת פערים בכתב וניסוח תוכנית עבודה להטמעת תהליכי הבקרה.
  • לאחר סיום יישום תוכנית העבודה והטמעת הבקרות – דרישה לתצהיר הכולל טבלה המכילה את שם המערכות שמופו, חבילת הבקרות שהוקצתה לסיכון שהתקבל ורשימת הבקרות שהוטמעו.
• נספח תצהיר בעל היתר הרעלים על היעדר מערכות ממוחשבות המנהלות חומ"ס.
• דיווח על אירוע סייבר (4.4): נוספה הבהרה כי יש  חובת דיווח לאחר אירוע סייבר באמצעות טופס דיווח שצורף כנספח למדריך.
• דרישות מיועץ חיצוני (8.6): נוספה הבהרה כי במידה והעסק ייעזר בייעוץ חיצוני בנושא הקשור לסייבר, היועץ מחויב לעמוד בדרישות המופיעות בנספח המצורף למדריך.

מי מחויב ביישום הגנת סייבר? כמויות הסף של חומ"ס

אחד השינויים המשמעותיים שנעשו בעדכון האחרון של המדריך הוא הוספת נספח י"א – המפרט את כמויות הסף של חומרים מסוכנים המחייבות עמידה בדרישות הסייבר של המדריך.

מיפוי החומרים ואופן דרכי חישוב כמות החומר או קבוצת החומרים המסוכנים, נעשית בהתאם לרגולציה הגרמנית להגנת הסייבר – סווסו (SEVESO). מדובר בתהליך בדיקה הכולל מספר שלבים, כאשר עמידה בשלב מסוים מביאה להחלה של הרגולציה ומייתרת את המשך הבדיקה.

תחילה בודקים עבור כל חומר מסוכן, האם הכמות המותרת למפעל לפי היתר הרעלים עומדת בטווח שבין הסף התחתון לסף העליון בטבלה שבנספח. מספיק שיש חומר מסוכן אחד שנמצא בטווח – הדרישות להגנת סייבר חלות על המפעל – כולל יתרת החומרים המסוכנים שלו, גם אם הם לא בטווח.

לאחר מכן, רק במידה ולא נמצא חומר מסוכן בודד שהוא בטווח ערכי הסף, עושים בדיקה דומה לפי קבוצות חומרים מסוכנים – ושוב, אם יש קבוצה אחת של חומ"ס שהכמות המותרת לפי היתר הרעלים של המפעל נמצאת בטווח ערכי הסף של הטבלה בנספח – אז הדרישות להגנת סייבר חלות על המפעל ויתר החומרים המסוכנים שבו, גם אם הם לא בטווח.

לבסוף, רק במידה ולא נמצא חומר מסוכן בודד או קבוצת חומרים מסוכנים שנמצאת בטווח ערכי הסף, עושים בדיקה מצרפית (מצטברת) לפי קבוצות החומ"ס, לפי נוסחה המפורטת בנספח.

------

מסמכים רלוונטיים: