מטה הסייבר הלאומי פרסם לראשונה בחודש שעבר מדיניות אסדרה של מקצועות הגנת הסייבר, לפיה יוענקו תעודות הסמכה ויוקם מרשם לאומי פומבי של הפרטים הכשירים לעסוק במקצועות הגנת הסייבר, וזאת בהתאם לעמידתם בתנאי סף ובמבחנים תיאורטיים ומעשיים.
המטה מסביר, כי יש צורך לוודא את עמידת העוסקים בהגנת הסייבר בסטנדרטים מקצועיים, וזאת כדי להבטיח רמה מקצועית הולמת, וכדי להתמודד כהלכה עם איומי ביטחון, בטיחות הציבור וכלכלת ישראל בתחום הסייבר.
ככלל, הסמכת פרט והכללתו במרשם לא תהווה תנאי לעיסוק במקצועות הגנת הסייבר, אולם, רגולטורים בענפי המשק השונים יעשו שימוש במרשם כדי לחייב העסקת בעלי מקצוע מוסמכים. לצד זאת, המרשם יהווה סטנדרט מחייב לעוסקים בתחום במשרדי הממשלה ובגופים "רגישים", כמוסבר בהמשך.
דרישות ההסמכה יכללו תנאי סף בדבר גיל, אזרחות ישראלית והעדר עבר פלילי; עמידה בבחינות תיאורטיות ומעשיות לקבלת הסמכה בסיסית ולהסמכה לרמת המומחיות המתקדמת (הרמה המתקדמת תכלול גם דרישת ותק מינימאלי של ארבע שנות ותק מקצועי), ועמידה תקופתית, מדי שלוש שנים, בדרישות לשמירת כשירות מקצועית. רשימת המקצועות שיוסדרו, כמפורט במסמך המדיניות, תוך חלוקה לרמת מומחיות בסיסית ולרמה מתקדמת, הם כדלקמן:
- מיישם הגנת סייבר - בעל ידע תיאורטי בסיסי ויכולת יישומית האחראי ליישום הגנת סייבר בארגון.
- מוסמך מבדקי חדירה - בעל ידע עדכני ויכולת מעשית גבוהה בנושאי איתור חולשות במערכי הגנת סייבר ובדיקת חדיּרות.
- מוסמך תחקור סייבר - בעל ידע עדכני ויכולת מעשית גבוהה בנושאי תחקור אירועים.
- מוסמך מתודולוגיות הגנת סייבר - בעל ידע תיאורטי מקיף ומעמיק במכלול נושאי מתודולוגיות הגנת הסייבר.
- מוסמך טכנולוגיות הגנת סייבר - בעל ידע תיאורטי מקיף ומעמיק במכלול נושאי טכנולוגיות הגנת הסייבר.
המרשם יוקם בשנת 2017. בהתאם לכך, הבחינות לרמת המוסמך הבסיסי ייערכו החל משנת 2017, והבחינות לרמת המומחה יחלו בשנת 2021. הבחינות התקופתיות לבדיקת שמירה על כשירות מקצועית יחלו בשנת 2020.
קביעת חובת רישוי לשם עיסוק בהגנת סייבר נמצאה כפוגעת בחופש העיסוק באופן לא מידתי. משכך, ככלל, ההסמכה לא תהווה תנאי לעיסוק בתחום. עם זאת, במשרדי הממשלה, כל עובד חדש בתחום הגנת הסייבר יידרש לעמוד בהסמכות הרלוונטיות, ובתום חמש שנים כלל העוסקים בהגנת סייבר יידרשו להיות מוסמכים.
במגזר הפרטי, יוטל על הרגולטורים בענפי המשק השונים לקבוע דרישות באשר לעיסוק בתחום הגנת הסייבר בהתאם לנסיבות, כלומר: רישום לא יהיה תנאי סף לעיסוק, אלא בשיקול דעת הרגולטור ככל שיימצא לנכון בכל תחום פעילות. בתוך כך, גופים ייחודיים שיוגדרו על-ידי הרשות הלאומית להגנת הסייבר תחת מטה הסייבר הלאומי כ"בעלי נזק פוטנציאלי משמעותי כתוצאה מפגיעה במערכות הממוחשבות שלהם", בהתאם לאופי פעילותם, תלותם במערכות מחשוב, תלות גופים אחרים בהם ועוד - יחויבו לעמוד בהסמכות רלוונטיות.
מימוש האסדרה יופקד תחת אחריות יחידה ייעודית ברשות הלאומית להגנת הסייבר, אשר תעסוק, בין היתר, בעריכת הבחינות, בהגדרת רמות ההסמכה והקריטריונים לעמידה בכשירות מקצועית ובקידום חקיקה בנושא.