מפת תאימות לפי מגזר
אותה רגולציה לא חלה על כולם. המגזר שלכם קובע אילו חוקים ותקנים אתם חייבים.
שתי שכבות חלות על כל ארגון בישראל: חוק הגנת הפרטיות ותיקון 13 כבסיס רוחבי, ותקני ISO כשיטות עבודה. מעליהן מתווספות דרישות ספציפיות לפי מגזר.
המטריצה
| מגזר | רגולציה ישראלית | רגולציה בינלאומית | תקנים |
|---|---|---|---|
| פיננסים | המפקח על הבנקים (נב"ת 364), רשות שוק ההון | DORA, BCBS 239 | ISO 27001, ISO 8000 |
| בריאות | חוזרי מנכ"ל משרד הבריאות, תיקון 13 | HIPAA | ISO 27001, ISO 27701 |
| ממשל וציבורי | תיקון 13 (DPO חובה), הסדרת העברות בין-משרדיות | Federal Data Strategy, FedRAMP (ארה"ב) | ISO 27001 |
| מסחר וכללי | חוק הגנת הפרטיות + תיקון 13 | GDPR (מול אירופה), CCPA | ISO 8000, ISO 27001 |
פיננסים
המגזר המפוקח ביותר. בנק ישראל פרסם את הוראת ניהול בנקאי תקין 364 (ניהול סיכוני IT, אבטחת מידע וסייבר), שמאחדת שלוש הוראות היסטוריות למסגרת אחת ונכנסת לתוקף במאי 2026. גופים מוסדיים כפופים לחוזר ניהול סיכוני סייבר של רשות שוק ההון, שמחייב ועדת היגוי, מנהל סייבר ומבדקי חדירות תקופתיים. ברמה האירופית, DORA (בתוקף ינואר 2025) חל גם על ספקים ישראליים שמשתלבים במגזר הפיננסי האירופי.
בריאות
מידע רפואי הוא מהרגיש ביותר. בארה"ב, HIPAA מגן על מידע רפואי (PHI) ודורש בקרות גישה מחמירות והצפנה. בישראל, חוזרי מנכ"ל משרד הבריאות קובעים שברירת המחדל היא גישה למידע רק בסביבה סגורה ומאובטחת; ייצוא מידע החוצה, אפילו מותמם, דורש אישור מנומק מוועדת הלסינקי המקומית.
ממשל וציבורי
תיקון 13 מחייב את כל הגופים הציבוריים למנות ממונה הגנת פרטיות (DPO). באוגוסט 2025 פורסם דוח של צוות בין-משרדי להסדרת העברת מידע בין גופים ממשלתיים, שממליץ על קטלוג נתונים נגיש וועדה לאישור העברות מורכבות, כדי לאזן בין פרטיות לשירות לאזרח.
התאימות נשענת על יישום מסודר. ראו את פילר היישום בארגון לבניית תוכנית, ואת תיקון 13 כבסיס.