ביום 1.2.26 פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת להערות הציבור, המבקשת ליצוק תוכן אופרטיבי למונח העמום "אמצעים מקובלים" הקבוע בתקנה 9(א) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. תקנה 9(א) מחייבת את בעל השליטה במאגר מידע ואת המחזיק בו לנקוט "אמצעים מקובלים" להבטחת גישה למאגר אך ורק בידי מורשים. אולם, בהיעדר הגדרה טכנית בחוק למונח "מקובלים", ארגונים רבים הסתפקו בסטנדרטים מינימליים. הטיוטה משיבה על שאלות אלו באמצעות אימוץ מתודולוגיה מבוססת סיכון, הנשענת על תקינה בינלאומית, ובראשה מודל רמות האימות של NIST. כעת, הנטל להוכחת "סבירות האמצעים" מוטל על הארגון. היינו, בחירה בפתרון טכנולוגי חלש או מיושן לא תוכל להתלות עוד בטענה כי "כך מקובל בענף". יש לראות את הטיוטה שפרסמה הרשות לא רק כ"צעד טכני" או הבהרה טכנולוגית, אלא לאור תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקפו ביום 14.08.25. התיקון העניק לרשות סמכויות אכיפה מוגברות וסמכות להטלת עיצומים כספיים משמעותיים - דבר שהופך את הטיוטה ממסמך "המלצה" למסמך רשמי ואכיף המשנה את ניהול הסיכונים. המסמך מגדיר שלוש קטגוריות אימות "קלאסיות":

• 1. "משהו בידיעתך": סיסמה, קוד אישי וכיו"ב. הרשות מדגישה ושמה קץ לפרקטיקה פסולה (הנפוצה במגזר הציבורי והעסקי כאחד), כי מספר תעודת זהות אינו נחשב לגורם אימות סודי.
  2. "משהו בבעלותך": רכיב פיזי או דיגיטלי המצוי ברשות המשתמש, כגון קוד חד-פעמי, אפליקציית אימות או מפתח אבטחה.
  3. "משהו שאתה": זיהוי ביומטרי, לרבות טביעת אצבע או זיהוי פנים.

כעת, הרשות קובעת כי יש צורך באימות של שני גורמי אימות בלתי תלויים לפחות. ההיגיון ברור: חדירה למאגר המידע באמצעות גניבת סיסמה לא תספיק עוד כאשר נדרש גם רכיב פיזי או ביומטרי. בנוסף, החידוש המרכזי בטיוטה הוא טבלה אופרטיבית הקושרת בין רמת אבטחת המאגר לפי התקנות (יחיד, בסיסית, בינונית, גבוהה) לבין רמת האימות הנדרשת, תוך הבחנה בין סוגי משתמשים (עובדים, מנהלי מערכת, גישה מרחוק). כך, מאגרים ברמת אבטחה גבוהה חייבים להשתמש ברמת אימות 3 - קרי, רכיב חומרה קריפטוגרפי פיזי. המשמעות היא שקבלת קוד ב-SMS כבר אינה נחשבת לאמצעי מספק עבור מאגרים רגישים אלו. עבור מאגרים ברמת אבטחה בינונית, גישה מרחוק מחייבת רמת אימות 2 המוגנת מפני פישינג, בעוד שבתוך הרשת הארגונית ניתן להסתפק ברמה 1, בתנאי שהסיסמה עומדת בסטנדרטים החדשים (סיסמה באורך של 15 תווים לפחות, או 8 תווים בצירוף גורם אימות נוסף, כפוף להערכת סיכון). באשר למאגרים ברמת האבטחה הבסיסית, גם כאן מעלה הרשות את רף הכניסה. הדרישה לסיסמאות חזקות וניהול הרשאות קפדני הופכת לסטנדרט המינימלי למניעת רשלנות. הטבלה אינה מוצגת כהמלצה גרידא, אלא כתרגום מעשי של חובת התקנה. אומנם הרשות מציינת כי ניתן ואף רצוי לנקוט אמצעים מחמירים יותר, וכי האחריות לבחינת התאמת האמצעים לנסיבות הקונקרטיות נותרת בידי בעל השליטה במאגר והמחזיק בו, עם זאת הסטנדרט המפורט משמש בפועל אמת מידה רגולטורית לבחינת עמידה בדרישה. במבט-על מקצועי, הטיוטה משקפת הקשחה ניכרת של רף הציות והעברת מרכז הכובד מניסוח עקרוני אל סטנדרט אופרטיבי מדיד. ארגונים אינם יכולים עוד להסתפק במדיניות כללית או בפתרון טכנולוגי נקודתי: יש צורך במיפוי שיטתי של מאגרי המידע, סיווגם לפי רמת האבטחה הקבועה בדין ובחינה מושכלת של מנגנוני ההזדהות הקיימים אל מול רמת הסיכון בפועל. זהו מעבר מניהול "מערכת סיסמאות" לניהול מבוקר של ארכיטקטורת זהות והרשאות. שאלת התאמת מנגנוני האימות חדלה מלהיות עניין של מחלקת ה-IT בארגון, והופכת לסוגיה ניהולית-משפטית מובהקת, המערבת את הממונה על הגנת הפרטיות (DPO), מחלקת משאבי האנוש, המחשוב והמנהלים הרלוונטיים. לנוכח סמכויות האכיפה המורחבות, ההכרעה בדבר רמת האימות הנדרשת, ובפרט בגישה מרחוק ובהרשאות ניהוליות, היא חלק ממערך ממשל תאגידי תקין המחייב מעורבות הנהלה ותיעוד החלטות מבוסס סיכון. היבט משמעותי נוסף הוא מעין היפוך נטל מעשי: באירוע אבטחה, הארגון יידרש להראות כי אימץ מנגנון העומד בסטנדרט מקצועי עדכני ובהלימה לרמת הסיכון של המאגר. סטייה מהמתווה המוצע תחייב הנמקה מקצועית ותיעוד סדור של שיקולי אבטחת מידע. בהיעדר תיעוד כזה, יתקשה הארגון לבסס כי נקט "אמצעים מקובלים", כמשמעותם בדין. הטיוטה אף מדגישה את אופיה הדינמי של הרגולציה: "אמצעים מקובלים" אינם מושג סטטי, אלא אמת מידה משתנה הנבחנת ביחס להתפתחויות טכנולוגיות ולאיומים עדכניים. בכך מאותתת הרשות כי רף הציפייה הוא תחזוקה מתמדת של מנגנוני האימות, לרבות בחינה תקופתית של עמידותם למתקפות התחזות ושל התאמתם לסטנדרטים בינלאומיים. המסר המקצועי ברור: עמידה פורמלית בדרישת מינימום אינה מספקת. נדרש תהליך סדור של הערכת סיכונים, התאמת רמות אימות לרגישות המידע ולמאפייני השימוש ותיעוד החלטות מושכלות. אם תאומץ הטיוטה בנוסח מחייב, מדובר במעבר ממודל הצהרתי של "סבירות" למודל מדיד הנשען על רמות אימות מוגדרות, חסינות לפישינג ורכיבים קריפטוגרפיים ייעודיים - שינוי המחייב ראייה מערכתית והטמעה מובנית כחלק אינהרנטי ממערך הציות והניהול התקין.