PAGE
28
ועדת המדע והטכנולוגיה
22/02/2012

הכנסת השמונה-עשרה
נוסח לא מתוקן

מושב רביעי
<פרוטוקול מס' 123>
מישיבת ועדת המדע והטכנולוגיה
יום רביעי, כ"ט בשבט התשע"ב (22 בפברואר 2012), שעה 9:30

<תקנות ניירות ערך (מאשר חתימה)(תיקון), התשע"ב-2011>

חברי הוועדה: >
רונית תירוש – היו"ר

>
עו"ד עמית אשכנזי - יועץ משפטי, הרשות למשפט, טכנולוגיה ומידע, משרד המשפטים

נתן הרשקוביץ - מנהל מחלקת מערכות מידע, רשות ניירות ערך

שים רובין - מחלקת מערכות מידע, רשות ניירות ערך

עו"ד יונתן מאיר - מחלקת חקיקה, רשות ניירות ערך

דורון רונן - נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע

אסף ויסברג - סגן נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע

גדעון רצר - מנכ"ל חברת פרסונל איי. די. בע"מ

עו"ד נתי שילה - יועץ משפטי, איגוד החברות הציבוריות

נירה לאמעי-רכלבסקי

ענת לוי

הדר אביב
<תקנות ניירות ערך (מאשר חתימה)(תיקון), התשע"ב-2011>

בוקר טוב, אנחנו נתחיל את הישיבה בנושא: תקנות ניירות ערך (מאשר חתימה)(תיקון), התשע"ב-2011. מדובר בעיקר בשני נושאים. האחד, הארכת אישור החתימה משנתיים לארבע שנים. הנושא השני דן בהרחבת מורשי חתימה, כפי שאני מבינה. ומי שיסביר טוב ובאופן מקצועי הוא יונתן מאיר ממחלקת חקיקה של רשות ניירות ערך. בבקשה.

בוקר טוב. כמו שיושבת-ראש הוועדה הציגה, אנחנו באים בבקשה לתקן את תקנות ניירות ערך (מאשר חתימה). התקנות קובעות כיום שמאשר חתימה, שהוא גורם מאשר שקיבל אישור נוסף מרשות ניירות ערך לשמש כמאשר חתימה, ינפיק את התעודות האלקטרוניות שמשמשות לדיווח אלקטרוני לרשות. במאמר מוסגר אני אציין שמשנת 2003 כל הדיווח לרשות ניירות ערך נעשה באופן אלקטרוני ולכן מדובר בהיקף משמעותי מאוד של דיווחים, וכל הדיווח הזה נעשה על-ידי אותה תעודה אלקטרונית שמזהה אותו באופן חד-ערכי.

ברשותך, גם במאמר מוסגר – לא מזמן היה דיון בוועדת הכספים על העברה של דוחות ב-online, דוחות מקוונים למס הכנסה ואולי גם לביטוח לאומי, אינני יודעת. היתה התנגדות רבתי כי לאנשים קשה להתעסק עם זה, והרבה יותר קל למלא ניירות. אם זה כבר קיים בשוק ההון, אז למה שם היתה – זה תמוה בעיני כרגע. אני יודעת שלשכת רואי חשבון התנגדה מאוד.

אני לא אייצג גופים אחרים. כפי שאת אומרת, אצלנו זה עובד - -

מ-2003?

מ-2003. זאת המערכת הראשונה בישראל שעובדת בתחום הזה. היא עובדת כבר עשר שנים בלי אף תקלה ובעיה.

אתה יודע למה, אמרו שפסיכולוגית יש בעיה. כשאתה לא בא לפני הפקיד וחותם, ורואה שזה חתום וזה עבר, ואתה שולח באוויר משהו וירטואלי, אז יש לך חשש.

להיפך, אני לא חושב שיש בעיה. אני חושב שהגופים המפוקחים שמחים מאוד על העובדה שהם יכולים מהמחשב שלהם לדווח, ולא צריכים להגיע אלינו באופן פיזי.

אוקיי.

אנחנו קיבלנו בשנים האחרונות מספר לא קטן של פניות מהציבור בבקשה להאריך את תוקף התעודות הללו. הם טוענים שלהידרש לחידוש הזה כל שנתיים הוא נטל מבחינתם.

מטרטר?

אתם בודקים כל שנה, ולמרות שהגוף הזה קיבל אישור חתימה, אתם בודקים אותו אחרי שנתיים, אם משהו השתנה אצלו – זה מה שאתם עושים?

התוקף של התעודה הוא שנתיים. אחרי שנתיים הוא פג. אנחנו לא בודקים, אלא כל החוכמה היא שהטכנולוגיה עצמה בודקת שהתעודה שהונפקה לשנתיים, לא יכולה להמשיך ולהתקיים אחר כך. אי אפשר לשלוח דיווח עם תעודה שפג תוקפה. זה מתבצע טכנולוגית, אוטומטית לחלוטין.

ברור. ואז מה צריך לעשות?

ואז אותו מורשה חתימה מטעם החברה – מנכ"ל, סמנכ"ל – צריך ללכת לעשות תהליך מסוים של חידוש תעודה.

תהליך מעיק?

תהליך שבפניות ציבור שקיבלנו, הוא מעיק והוא מיותר כי אפשר לעשות תעודה לארבע שנים.

הם גם משלמים כל הזמן, נכון?

אמת. זה גם האספקט של העלויות וגם האספקט של הטרחה. מדובר באנשים מאוד בכירים בחברות, מנכ"לים, סמנכ"לים, הרובד הניהולי הבכיר ביותר, שצריך להטריח את עצמו כל שנתיים ולזכור. כי אם הוא מפספס והתעודה פגה ויש לו דוח כספי, הוא לא יכול להוציא אותו כי אין לו תעודה. אז זה נטל.

אז למה ארבע ולא שש?

זו איזושהי פשרה סבירה לדעתנו. סליחה על ההשוואה, אולי היא לא במקום, אבל באותו אופן בו כרטיסי אשראי – למה שנתיים או שלוש ולא שש? כי ההנחה היא שהטכנולוגיה משתנה אחרי שש שנים. אולי צריך להנפיק את זה בצורה שונה, אנשים מתחלפים אחרי כל כך הרבה זמן, הסיכוי שילך לאיבוד, או כל דבר אחר. אז זו איזושהי פשרה סבירה בין נטל ובין תועלות למערכת.

אני רק אחדד: בנוסף להוצאות הכספיות ולטרחה יש כאן חשיבות מיוחדת מכיוון שעל הפרות של אי דיווח לפי חוק ניירות ערך יש סנקציה פלילית, ולכן הרגישות המוגברת בהיבט של ניירות ערך. אם איחרו ביום באותו חידוש - -

זה יכול לקרות גם יום לפני תום ארבע השנים.

נכון. אבל במקום שבארבע שנים זה יקרה פעמיים - -

נהפוכו, אחרי ארבע שנים בטוח שאני אשכח, ואילו אחרי שנתיים אני עוד בלחץ.

בכל מקרה שולחים לך התראות בדרך.

לכן זה לא ממש נימוק.

הרגישות היא מוגברת בהקשר הזה.

בעקבות הפניות הללו התחלנו להניע את התיקון שאנחנו מביאים היום לאישור הוועדה. ושוב, לרשות בפני עצמה אין פה איזושהי תועלת מהתיקון. אם ציינת את ועדת הכספים, אז מה שאנחנו שומעים שם הרבה מאוד פעמים זה הכבדת הרגולציה והעלויות שמושתות על התאגידים המדווחים, ופה אנחנו מנסים צעד בכיוון של הפחתת העומס המוטל עליהם.

התיקון הנוסף הוא למעשה הבהרה רטרואקטיבית מסוימת. בשנת 2005 כבר נוספו הגופים הללו למערכת הדיווח של המגנ"א, והם מדווחים כבר מאז, זה למעלה משש שנים. פה אנחנו מבקשים לעגן את זה בתקנות בצורה ברורה, מה שנעשה כבר בתקנות אחרות.

זהו?

זהו.

קצר ולעניין. תודה.

עורך-דין נתי שילה, יועץ משפטי, אגוד החברות הציבוריות, בבקשה.

אני רוצה לומר שאנחנו שמחים מאוד על התיקון הזה ותומכים בו, ועל המעבר משנתיים לארבע. זה פשוט מקל על כל הפרוצדורה הזאת, והזמן של ארבע שנים נראה לנו סביר. כמו שיונתן אמר, אנשים מתחלפים, ממלאים תפקידים, וממילא כל האישורים האלה הם אישורים פרסונליים של האנשים המדווחים בחברות. לכן, ככל שזה נוגע לנו אנחנו תומכים מאוד בתיקון הזה.

האישורים ניתנים ex officio? כלומר, לפי התפקיד ולא לפי הבן-אדם?

גם וגם.

ברור. הוא צריך להיות לא פליליסט, אבל - -

הוא נושא משרה בכירה, אבל צמוד לחברה מסוימת. זה לא רק האדם ולא רק החברה.

אבל כל מי שייכנס לתפקיד הזה אמור לקבל מכם את האישור?

הוא יצטרך ללכת שוב להזדהות חוקית - -

זה ברור לי.

החברה יכולה להחליט שהיום סמנכ"ל כספים הוא מדווח, ומחר סמנכ"ל אחר מדווח. מבחינת החוק זה נושאי משרה בכירה. החוק לא מגדיר איזו פונקציה בדיוק. זה יכול להיות מנכ"ל, דירקטור - -

החברות הן אלה שמגדירות מי?

החברות מגדירות מי כשהמגבלה היא נושא משרה בכירה – מישהו בדירקטוריון, מנכ"ל, או מישהו שכפוף למנכ"ל.

ומה עומד בפניכם בקריטריונים לאישור, מעבר לתעודת יושר – ואני מניחה שיש לבן-אדם שהגיע לרמה - -

אין לנו. אין לנו. זו החלטה של החברה - -

אז מה אתם בודקים על הבן-אדם כבן-אדם?

זו החלטה של החברה שמסמיכה אותו. אנחנו לא מתערבים בשיקולים - -

אז אני שואלת: אם זה אוטומט, כל סמנכ"ל כספים אצלי - -

זו החלטה שלך.

זו החלטה שלי. מה אתם בודקים לפני שאתם מאשרים לו?

כלום. אנחנו בודקים רק שיש - -

- - -

הבנתי.

- - -

זה יכול להיות סמנכ"ל כספים, או מזכיר החברה, או המנכ"ל עצמו לפעמים. זה תלוי בחברה ובאופרציה שלה.

כן, זה ברור לי.

רואה חשבון דורון רונן, נשיא האגוד הישראלי לביקורת ואבטחת מערכות מידע, בבקשה.

שלום, בגלל שזה נושא שקשור לאבטחת מידע אז היינו שמחים אם תוקף התעודה יחודש מדי שנה ולא כל שנתיים או ארבע שנים, כמו טסט לרכב או רישיון רואה חשבון וכולי. החלופה שמדוברת כאן להעביר את זה לארבע שנים אפשרית, אבל היינו רוצים לראות שאחרי תקופה של שנתיים תהיה איזושהי נקודת ביניים. לדוגמה, ביקורת או תצהיר לחילופין של עורך-דין או נוטריון, או מישהו שמייצג את החברה, שיאמר: הגורם המדווח עדיין קיים, הוא לא התחלף, הוא לא נפטר מהעולם, חס וחלילה, ואז יש משהו פוזיטיבי.
יש כאלה דיווחים. ממילא החברות מדווחות על תחלופת נושאי משרה – לאו דווקא בהקשר הזה אלא בהקשרים אחרים – לרשות ניירות ערך ולמגנ"א בהתאם לעניין; ואחת לכמה זמן, לעתים, גם איזושהי רשימה מצטברת של נושאי המשרה בחברה. אני לא רואה הכבדה בתיקון הקטן הזה של פעם בשנתיים. להגיד: אוקיי, אנחנו מאריכים את זה לארבע שנים, אבל פעם בשנתיים תדווחו רק שאלה לא התחלפו או כן התחלפו.

התהליך שאתה מדבר עליו קיים כבר. כל שנתיים החברה צריכה לדווח טופס במערכת, החברה או המדווח צריכים להצהיר שהאדם הזה אכן נושא באותה משרה. מעבר לזה, דיווח שוטף על נושאי משרה מתקיים כל הזמן. גם דיווח על נעשה - - - ומצבת קבועה. כל התהליך שאתה מדבר עליו קיים כבר, והוא מתקיים בשוטף.

מה גם שזה כפוף לפלילי. אני מעריכה שמי שלא הורשה ולא קיבל את הרישיון לחתום, והוא חותם רק כי הוא התקבל למשרה ושכחו לדווח עליו, הוא עובר על החוק.

אתה רוצה להגן על החברה, בעצם? על מי אתה מנסה להגן?

אני רוצה להגן אולי אפילו על הציבור. לצורך העניין, בן-אדם התחלף, לא קיים בחברה, או נפטר, ומישהו בחברה משתמש במשך מספר חודשים ב-token שלו ומדווח.

זה קצת בעייתי.

זו עבירה בטריטוריה של עמית.

זו לא עבירה.

זו לא עבירה. זו עבירה בדין הפלילי להשתמש ב-token - -

אבל את זה אפשר להגיד על כל דבר.

אני אגיד כמה דברים, אם כבר הגענו לזה. השאלה של תוקף התעודה היא שאלה שנובעת בדרך כלל מהמציאות המסחרית של הגורמים המאשרים, יחד עם השילוב של הטכנולוגיה. אנחנו בשנת 2010 כרשם, כגורמים מאשרים לפי החוק, בדקנו את האופק הטכנולוגי של הטכנולוגיות ומבחינה זאת אין מגבלה ידועה היום בנושא ארבע השנים.
לגבי שימוש לרעה באמצעי חתימה – אין סנקציה פלילית בחוק חתימה אלקטרונית, אז אני מחזיר את הכדור בחזרה לחוק ניירות ערך. אבל אני כן חושב – ואת זה רשות ניירות ערך יכולה להסביר הרבה יותר טוב ממני, אני מניח – שעל חברה ציבורית יש סט כזה של כללים ותמריצים כדי לוודא שאכן מי שמדווח בשמה הוא מוסמך, כך שאני לא בטוח שנדרשת עוד בקרה של הרגולציה בעניין הזה, בהקשר הספציפי של מורשה הדיווח.

זה אינטרס מובהק שלה, כי אחרת היא נתפסת כאן בדין.

לכן לא ברור שצריך עוד רגולציה על זה. יש מספיק תמריצים לעשות את זה.

אסף ויסברג, האגוד הישראלי לביקורת ואבטחת מערכות מידע. צריך להסתכל על זה בצורה טיפה יותר רחבה. אנחנו או אתם נדרשים פה, בין היתר, לאשר גם את ההרחבה של הגורמים שמאשרים להם לדווח בצורה אלקטרונית, ומן הסתם המגמה הזאת רק תלך ותגבר.

10–15 שנים down the road, הולכות להיות הרבה מאוד תעודות אלקטרוניות כאלה שמאפשרות חתימה, ולא משנה איך הגענו לסצנריו שבו תעודה כזאת נמצאת בידיים לא ראויות או לא נמצאת בידיים של אף אחד. סטטיסטית, על הכמויות שיהיו, ברור שיהיו.

צריך לחשוב מלכתחילה מהי מטרת כל הבקרה הזאת. מטרת תפוגת התוקף כל שנתיים היא לא כדי לקבל את האגרה פעם בשנתיים או פעם בארבע שנים - -

זה למזער נזקים.

זה להגיד באופן אוטומטי: תסביר לי שוב למה אתה צריך את זה. ולכן, אם לא תהיה איזושהי בקרה שיושבת - -

על מה הבקרה, שאני רוצה לזהות שוב את האנשים?

למשל, כן. אני חושב שמה שדורון הציע פה - -

זה מתבצע.

לא. צריך להגיד שאם לא התבצע תהליך מסוים תוך רבע לשנתיים, או קצת לפני השנתיים, יפוג התוקף. ורק אם יתבצע איזשהו תהליך נוסף - -

אבל זה מתקיים, כמו שאמרתי. זה מתקיים.

ומה שהיא אמרה לא מספיק - -

אם זה מתקיים, אז מה הבעיה?

אם הם לא מדווחים תוך 311 איזשהו טופס אצלנו שהבן-אדם הזה עדיין נושא משרה, אנחנו לא מחדשים לו.

אני לא מדבר על נושאי משרה. אני אומר, מדיווח ספציפי לנושא הזה שמצדיק את החידוש לשנתיים נוספות – אם כרגע רוצים להרחיב לארבע, אחרי שנתיים, באמצעות - -

אני לא כל-כך מבינה, מה זה ה"ספציפי" הזה? על מה אתה מדבר?

אם מאריכים לארבע שנים, מה קורה אחרי שנתיים?

מה קורה היום אחרי שנתיים?

לא, נניח שזה כבר ארבע שנים. מה אמור לקרות אחרי שנתיים? כלום.

לא. אם אנחנו ממשיכים בתהליכים שקיימים אצלנו במערכת, בלי קשר לגורם המאשר, החברה צריכה לשלוח לנו דיווח שאומר שהבן-אדם הזה עדיין ממשיך להיות נושא משרה.

כל כמה זמן?

כל שנתיים.

אם יורשה לי, אני רוצה לעשות סדר, כי זה מתחבר גם לשאלה של חברת הכנסת תירוש בתחילת הדברים.

כשאנחנו מסתכלים לאורך השנים על הטמעה של חתימה אלקטרונית במשק, אנחנו מסתכלים על גופים הכי עתירי רגולציה, הם הגופים שרשות ניירות ערך מפקחת עליהם. כדי להיות חברה נסחרת בבורסה, אתה צריך להשקיע הרבה כסף בהתאמה לרגולציה.

והכי תחת איום פלילי.

איום פלילי, ועכשיו יש להם גם סנקציות מינהליות.

בלי ביטוח.

"הרגתם" את הענף, דרך אגב.

סליחה?

"הרגתם" את הענף. אבל זה סיפור אחר.

אז הנה, אנחנו באים בתיקון חיובי.

אני לא מתפתה להמשיך את הדיון הזה, כי אפשר לדבר הרבה על אכיפה.

אני יודעת מה עשינו בוועדת הכספים, ואני מכה על חטא. מה שעשה גושן ערב עזיבתו - -

אני חושב שזה עוד מוקדם מדי - - - אם יורשה לי.

ימים יגידו.

ימים יגידו.

אגב השאלה שלך, אנחנו הולכים למציאות שבה חתימה אלקטרונית תהיה דבר שלא נמצא רק אצל הגופים הכי מתוחכמים, הכי חזקים והכי מרובי ייעוץ, וזה העולם של רשות המסים והחזון של תעודת זהות חכמה – אז יש אולי מקום לדברים שמטרידים אתכם כרגע מבחינת אבטחת מידע. אני לא חושב שזה רלוונטי כאשר אתה מסתכל על גוף מתוחכם עם רגולציה ספציפית, ובסופו של דבר אוכלוסיה מאוד קטנה.

כלומר, הנטל שאתם מציעים לעשות באופן של חידוש כל שנתיים הוא לא מוצדק בשים לב לסיכון הממשי שאנחנו מסתכלים עליו. כלומר, חברה פעם אחת מפחדת מהרשות, פעם שנייה מחויבת בהמון דיווחים שוטפים לרשות על דברים אחרים, ואנחנו בסופו של דבר פה בשלב מאוד קטן שקשור בזהות המדווח ברמה האלקטרונית.

אני גם לא רואה כל כך מהר את ה-tokens האלה שמדווחים למגנ"א שמסתובבים בשוק.

ואני רוצה להגיד עוד שרשות ניירות ערך הגבילה מלמעלה, בחקיקה, את היכולת להשתמש ב-token הזה אך רק לצורך מערכת מגנ"א, כך שהסיכונים לשימוש לרעה הם מאוד-מאוד מוגבלים.

דיווח שקרי שנמצא גז או לא נמצא גז באיזשהו קידוח, מה יכול לעשות לכל הבורסה?

אבל זה באחריות החברה.

תשע שנים מגנ"א עובדת ולשמחתנו הרבה לא היה דיווח.

63 שנים ההאקר הסעודי לא רצה מאתנו שום דבר.

לשמחתנו לא היה דיווח כזה. התלאות שהאקר צריך לעבור כדי לשתול דיווח כזה – ואגב, היו ניסיונות תקיפה גם עלינו לאחרונה עם הסעודים, וניסיונות קשים אחרים, עם האונייה הטורקית, וזה נכשל. הסיבה בגללה זה נכשל היא שמגנ"א היא מפלצת אבטחתית עם הרבה מאוד שכבות והרבה מאוד זיהויים, והיא נבדקת בצורה שוטפת לאיתור ניסיונות פריצה. המאמץ שהאקר צריך כדי להיכנס לפה זה "חתיכת" מאמץ. זה לפרוץ את כל הטכנולוגיית PKI, זה לפרוץ את כל מערכות ההגנה המתוחכמות ביותר, זה לעבור הרבה מאוד שכבות – אני מניח שאתה יודע על מה אני מדבר – כולל הגנות אפליקטיביות, והגנות - -

ועדיין הם עוברים. ועדיין הם מצליחים.

אני רוצה רגע לעצור פה. והיה, והיה, והיה – אני מקיימת כל כך הרבה דיונים לאחרונה בנושא של מתקפות סייבר למיניהן. תראו, העולם כולו הולך להיות סייבר, והדאגה שלך מוצדקת, ותהיה לך הרבה עבודה והרבה פרנסה, לפי דעתי. אבל אי אפשר להתקדם ולעצור את עצמנו, להתקדם ולעצור את עצמנו - -

להיפך.

לא. הם מבטיחים את עצמם כל הזמן, הם גם מזמינים פריצות לעצמם, אני מניחה, כדי להבטיח את עצמם. אני לא מודאגת מהבחינה הזאת. והיה ונמצא כשל מערכתי אז הם הראשונים לתקן אותו, ואני אהיה הראשונה לקפוץ על ההזדמנות לעשות פה ישיבה עם הרבה מצלמות.

ברשותכם, אני אבקש מהיועצת המשפטית להקריא את התקנות ואנחנו נאשר אותן, אלא אם יש עוד הערות.

ברשותכם רצינו שני תיקונים קטנים בנוסח בעקבות הערות שקיבלנו בימים האחרונים.

אז אולי נקרא את הנוסח, ואז בהתאם תעיר את ההערה?

איך שנוח לכם.

טוב.

אני רוצה כבר לוודא – חברת פרסונל איי.די. שהוזמנו לישיבה - -

נמצאים פה.

אתם רגועים?

לכם אין בעיה עם התקנות?

אין לנו בעיה בעיקרון עם התקנות. המועד להחיל אותן - - -

מועד התחילה?

כן.

נגיע לסעיף, ותעיר את ההערות.

"תקנות ניירות ערך (מאשר חתימה)(תיקון), התשע"ב-2011
בתוקף סמכותנו לפי סעיף 44ד(ב) לחוק ניירות ערך, התשכ"ח-1968
(להלן – החוק), לפי הצעת הרשות,

באישור ועדת המדע והטכנולוגיה של הכנסת, אנו מתקינים תקנות אלה:"

כאן, זה צריך להיות ו"ו, ולא פסיק. אני לא בטוחה שגם לפי הצעת הרשות, עכשיו שאני מסתכלת על זה, אני לא בטוחה - -

זה הניסוח של הסעיף המסמיך.

יש לך הערה על מה שנקרא עד כאן?

לא.

אז אפשר להמשיך.

אני אבדוק את זה אתם אחר כך, על הנוסח הזה.

"תיקון תקנה 1
1.
בתקנה 1 לתקנות ניירות ערך (מאשר חתימה), התשס"ג-2003
(להלן – התקנות העיקריות) -



(1)
בהגדרה "גורם מדווח", אחרי "בפרק ה'1 לחוק" יבוא "מנהל קרן, נאמן לקרן, מפרק קרן, תאגיד מורשה";



(2)
אחרי ההגדרה "מורשה חתימה אלקטרונית" יבוא:




""מנהל קרן", "נאמן לקרן" ו"מפרק קרן" – כמשמעותם בחוק להשקעות משותפות;";



(3)

""תאגיד מורשה" – כהגדרתו בחוק הייעוץ;".

יש הערות?

לא.

אז נצביע?

כן.

מי בעד? מי נגד? מי נמנע?
הצבעה
בעד סעיף 1 – 1

נגד – אין

נמנעים - אין

סעיף 1 נתקבל.

התקבל פה אחד, תרתי משמע.

"תיקון תקנה 8
2.
בתקנה 8(ה) לתקנות העיקריות, במקום "לשנתיים" יבוא "לארבע שנים"."

יש הערות על זה?

כן. התבקשנו על-ידי מאשרי החתימה להבהיר שתינתן האפשרות לכל גוף להחליט לאיזה תוקף תהיה התעודה – בין שנתיים לבין ארבע שנים.

זה מתחבר מאוד למה שהוא אמר.

זה מתחבר למה שהוא אמר. אם חברה עצמה יודעת מראש - -

אז למה לא אמרת את זה קודם?

היה פה איזשהו דיון. לא רציתי ל - -

מה זה, לא רצית? היית חוסך לנו את הוויכוח.

שאם מראש יודעים שזה לתקופה של פחות מארבע שנים, אז אפשר להחליט שזה - - -

יש לך ניסוח? אני צריכה ניסוח.

למשל, יש בוסים שידוע שאצלם מתחלפים הרבה ומהר. בעיקר אם הם מלשינים על ה - -

אני צריכה לראות את הניסוח. אתה יכול להראות לי אותו? כי אנחנו כבר בשלב ההקראה, ומצביעים על הנוסח.

את רוצה שאני אקריא?

בוודאי, ותביא לה אותו. אם זה מסובך תצטרך להביא לה אותו.

זה פשוט מאוד.

"בתקנה 8(ה) לתקנות העיקריות, במקום "יהיה לשנתיים" – אני מוסיף את המילה "יהיה" – "יבוא "לא יפחת משנתיים ולא יעלה על ארבע שנים"."

לא יפחת משנתיים - -

"ולא יעלה על" – ואז מתחבר ל"ארבע שנים".

ואז בדברי הסבר יהיה רשום שזה בחירה של החברה?

כן.

אין דברי הסבר.

לא יהיו דברי הסבר אבל יצטרכו להבין את זה לבד. כנראה שמבינים את זה.

יבינו לבד. אז אני אומרת את זה פה לפרוטוקול.

אז אני דווקא מבקש, ואני מדבר מתוך הניסיון הרע של שוק החתימה האלקטרונית, שיהיה ברור שזה לפי בחירת הלקוח ולא לפי בחירת - -

אז אתה רוצה שזה יהיה רשום בחוק?

אני רוצה שבתקנות יהיה כתוב: "לא יעלה על שנתיים ולא יפחת מארבע שנים לפי בחירת החברה המדווחת".

אתה צודק. זה תקנות, זה צריך להיות ברור.

אתה צודק. זו גם כוונת המשורר. אז בסדר.

כי אנחנו לא רוצים להשאיר את זה - -

אין דברי הסבר, אז זה יהיה רשום.

בגלל שזה לא עובר אצל הנסחית אצלנו, רק תוודאו עם הנסחית שלכם – "לפי בחירת הלקוח" זה לא הנוסח.

זה: "מורשה החתימה האלקטרונית", כן.

או: "הגורם המדווח".

"הגורם המדווח", סליחה.

"כפי שיבחר הגורם המדווח".

אם יש תיקון ניסוחי לזה, אז תודיע לנו.

בסדר גמור.

אז אני אקריא את הסעיף: "בתקנה 8(ה) לתקנות העיקריות, אחרי "לפי תקנות אלה", יבוא "לא יפחת משנתיים ולא יעלה" – את כל המשפט הזה אני משנה – "לא יפחת משנתיים ולא יעלה על ארבע שנים, כפי שיבחר הגורם המדווח". אוקיי?

אז שוב, אנחנו מבקשים, לפני שזה יצא מפה סופית, לאשר את הנוסח.

אני אעביר לכם את זה שוב.

אני כבר שולחים להם את המכתב, אבל אתם בכל מקרה תהיו אתי בקשר אם פתאום מישהו יחשוב שזה לא ברור.

אז אנחנו נצביע על תיקון תקנה 8 סעיף 2. מי בעד? מי נגד? מי נמנע?

הצבעה
בעד סעיף 2 – 1

נגד – אין

נמנעים – אין

סעיף 2 נתקבל.

הוחלט פה אחד. מה שאין לי בבית, יש לי פה.

"תחילה
3.
תחילתן של תקנות אלה 90 יום מיום פרסומן."

רגע, אז פה יש הערות.

קודם כל, בעקבות שיחה עם רמו"ט, הרשות למשפט, טכנולוגיה ומידע, היינו רוצים להבהיר שהתיקון יחול רק על תעודות חדשות שמונפקות לאחר יום התחילה, ולא על תעודות שכבר קיימות. אז כדי שזה יובהר בנוסח, אנחנו מציעים להוסיף ולומר: "והן יחולו על תעודות שהונפקו לאחר יום התחילה" – אם זה מקובל עליכם, כדי להבהיר שזה חל רק על תעודות חדשות.

אני לא בטוחה שחייבים, אבל זה לא מזיק להבהיר.

אני אסביר את הרקע: היה שינוי ברמות ההצפנה, ורצינו להבהיר שזה לא יכול לשנות ברמות ההצפנה הקודמת, ולהבהיר שזה רק לתעודות ברמת ההצפנה החדשה.

בכל מקרה אי אפשר להאריך תוקף של תעודה קיימת.

אז למה לא לכתוב: "לתעודות חדשות", וזהו?

אני לא בטוח שזה נדרש.

זה לא נדרש.

אם זה לא נדרש, אז מבחינתנו - -

- - - תקנות חלות מכאן ולהבא, זה לא משנה. גם אם לא נכתוב את זה, הן לא יכולות לחול רטרואקטיבית על פעולות שבוצעו - -

אז אני כותבת את זה לפרוטוקול.

בסדר גמור.

זה מרגיע אותך?

בעיקרון, כפי שנאמר קודם, יש שני שלבים להנפקת תעודות לפרויקט מגנ"א יש שני שלבים. האחד, אישור הרשם, והשני, אישור של מגנ"א. אנחנו נמצאים בתהליך שמתנהל כבר לאשר אותנו, את הרשם כבר עברנו, אנחנו גורם מאשר. מה שנשאר לנו זה לעבור את השלב של מגנ"א. כדי שגם אנחנו נוכל להנפיק - -

אתם מנפיקים כבר לגופים אחרים?

אנחנו מנפיקים, כמו שנאמר קודם - - - צומצם מהותית. בהיבט הזה, אני רוצה שהרשות תגיד מתי בהערכתם ההחלה שלנו, האישור שלנו יסתיים, פחות או יותר, כדי שזה יחול כמה שיותר קרוב. כי בסופו של דבר, אם אנחנו מגדילים את התוקף, ומן הסתם רוב השוק יגדל לתוקף של ארבע פלוס החלה נוספת של ציבור נוסף, אנחנו בעצם משמרים את המונופול שהוא כבר לא מונופול, אבל אני נאבק בו קשות - -

אתה טוען שזה יקשה על חברות חדשות להיכנס לשוק?

מקשה עלי מאוד להיכנס לשוק. כן, בהחלט.

ומאחר שיש צפי שהיקף האוכלוסיה יגדל, אז צריך אולי יותר חברות.

גם היקף האוכלוסיה יגדל, וגם ארבע שנים. זה אומר שזה "סוגר" אותי לארבע השנים הקרובות.

ברור. אז מה אנחנו מציעים?

קודם כל, היקף האוכלוסיה לא הולך לגדול בצורה משמעותית - -

לא?

אצלם - - -

לא. חברות שתשתמשנה בזה, באפשרות - -

כן, יש גידול טבעי. אבל לא איזשהו גידול מהותי שאנחנו צופים.

הרשות בעד להכניס מאשר חתימה נוסף, ועושה את הפעולות שהיא יכולה לעשות כדי לקדם את השינוי הזה. אני רוצה להדגיש: זה לא כפי שמוצג, שברגע שיהיה יום התחולה, כשהתיקון ייכנס לתוקף, אז כל החברות המדווחות ייכנסו - -

לא, ברור שלא. כל אחד לפי הזמן שלו.

- - כל אחד לפי הזמן שלו, וזו תקופה שתימשך עוד הרבה זמן. לכן, גם ברגע שהתקנות האלה נכנסות, זה לא אומר שבאותו רגע כל השוק נסגר למונופול. זה ממש לא המצב, ולכן אנחנו לא רואים סיבה לשנות אותו.

על כמה זמן אתה מדבר, כדי שתוכל להיכנס ל-system הזה? ל-loop?

זה תלוי אך ורק ברשות.

לא, לא. בוא נדייק בעובדות. אחרי זה נטען את הטיעונים.

העובדה היא, לצערנו, שנכון להיום חברת פרסונל איי.די. לא יכולה להנפיק תעודה במבנה של מגנ"א. זה לא החלטה אדמיניסטרטיבית של מגנ"א. זה לא עניין של ערבות – כן הגיש, יגיש בשבוע הבא. נכון לרגע זה, אין לפרסונל איי.די., לצערנו הגדול, ואנחנו מנסים למצוא איזושהי דרך לעשות את זה – אבל נכון לרגע זה, פרסונל איי.די. לא יכולה להנפיק - -

מי עכשיו, במהלך ארבע השנים הקרובות - -

הם נקראים "קומסיין".

והם לא יוכלו להיכנס?

אני לא יודע. אני לא בקיא בטכנולוגיה שלהם. אני לא יודע אם זה משהו שייקח להם שבוע לתקן, או חודש לתקן, או שנה לתקן.

אבל ברגע שהם תיקנו, בכל נקודת זמן, הם יוכלו להיכנס?

הם יוכלו להיכנס - - -

בכל נקודת זמן שייכנסו, ייכנסו ברצון.

אז מה הבעיה?

את הדיונים האלה עם מגנ"א אנחנו מנהלים כבר מאוקטובר, לדעתי.

בסדר, אני לא נכנסת - -

כבר דיברנו עם מגנ"א וזה לא פתרון טכנולוגי. הטכנולוגיה שלנו מבוססת על מייקרוסופט. התהליך שקיים היום - -

אבל זה לא מעניין אותי. לא, זה לא מעניין.

זה אומר שאם הם לא עושים שינוי, אנחנו לא נוכל להיכנס - -

איזה שינוי אתה רוצה שיעשו?

שינוי במבנה התעודה, להפוך אותו קצת יותר דומה למבנה של "ממשל זמין". אנחנו לא נוכל להיכנס לעולם. אנחנו בדיונים האלה כבר מאוקטובר בערך - -

אבל יש הרבה חברות שעובדות עם מגנ"א ואף אחת לא באה בטענות. אתם חברה חדשה שרוצה להשתלב, ואומרת: בואו, תשנו עכשיו את הסיסטמה? - -

המבנה לא קשור למשתמשים. המבנה קשור למסתמך - -

כן, הוא קשור למי שמאשר, לגורם המאשר.

- - לרשות ניירות ערך.

אני בעד שיהיו יותר גורמים. בהחלט, אני בעד. אבל עכשיו, מבקשים לשנות את מה?

לשנות את מגנ"א - -

כדי שזה יתאים לחברה מסוימת שרוצה להיכנס לשוק? זה נראה לי הזוי.

לא כזה הזוי.

למה שישנו? למה שלא אתם תשנו, שתתאימו את עצמכם למה שהמדינה מבקשת?

אי אפשר. זה בלתי אפשרי.

אבל למה יש שתי חברות שזה אפשרי מבחינתן? - -

יש חברה אחת שזה אפשרי - -

וחברת "סקיורנט" שהיתה לשעבר החברה השנייה בשוק שגם היא עמדה בזה.

היא נסגרה. אבל היא כבר - -

שהשתמשה בטכנולוגיה מאוד ישנה, שהטכנולוגיה הזאת נמצאת במגנ"א, וגם מגנ"א היום לא יכולה להחיל את הטכנולוגיה הזאת על זה. המשמעות היא שבעצם למגנ"א אין פתרון. אם מחר לצורך העניין, רשם, הגורמים המאשרים, מחליט שהוא מחיל איזושהי סנקציה על "קומסיין" או שיש בעיה ב"קומסיין" - -

אז אין חברה?

לא, יש את המדינה.

זה אומר שאין תעודות להנפקה - -

זה לא מדויק כי יש backup של המדינה.

- - -

בחוק חתימה אלקטרונית יש איזשהו פתח שמאפשר. המדינה היא הרי גורם מאשר לצורך התעודות הביומטריות. לא משנה, הטכנולוגיה קיימת.

לא בהכרח.

אני רוצה לומר משהו ברמה העקרונית.

שוב, לדעתי גם הגורם הממשלתי המאשר שיוקם, לא בטוח שהוא יוכל להכין את מבנה התעודה שנדרש על-ידי – זה אומר שאין לך backup.

אין לי עניין לקדם חברה מסוימת כזו או להרחיק חברה מסוימת. אבל כן יש לי עניין שתהיינה מספיק חברות בשוק, גם מבחינת התחרותיות על השירותים וגם מבחינת הביטחון, שאם זאת נופלת מאיזושהי סיבה – בזה שיש לי backup ממשלתי, תעזבי, את הממשלה תעזבי. אני חושבת שכוחות השוק צריכים לפעול פה וצריך לאפשר את זה.
אם יש פה טענה מוצדקת, שהמגנ"א שונה באופן מהותי מ"ממשל זמין" שהולך להיות הרבה יותר נפוץ והרבה יותר בשימוש – למה לא תעשו איזה מהלך? לא בשבילו. אלא לטובת העניין, לטובת העתיד, לטובת העובדה שעוד חברות תוכלנה להיכנס.

אנחנו התחלנו במהלך מהסוג הזה, והמטרה היתה אך ורק כדי לקדם את החברה, כדי שיהיה גורם נוסף - -

לפחות עוד גורם נוסף.

הנקודה היחידה היא שזה תהליך ארוך ומורכב, ומאוד מסובך. זה לקחת משהו שכפי שאמרתי, עובד תשע שנים עם מאות רבות של בדיקות על כל אחד מהשדות בתעודה, ועם אבטחת מידע ברמה סופר-גבוהה שעושה הצלבות על כל תו שם וכל נתון שם, לעשות "מישמש" בכל מערכות האבטחה. זה שינוי שאנחנו רוצים לעשות אותו ופועלים לכיוון הזה. אבל הוא לא מיידי, הוא לא למחר בבוקר.

תראו, אני נגד מונופולים, וזה יוצא שיש מונופול בשוק לעניין הזה וזה לא דבר בריא בכלל. אני לא אוהבת את המצב הזה. אני הייתי מבקשת ורוצה שתתחייבו כאן שאתם הולכים לבנות כזה מבנה שיהיה ידידותי לסביבה, שעוד חברות תוכלנה להשתמש ושהוא יהיה מקביל למה שממילא הממשלה משתמשת.
אני משתמשת עכשיו במינוחים ששמעתי. אני לא כל כך מבינה על מה אני מדברת אפילו, מהבחינה המקצועית-טכנית. אבל ברמה העקרונית אני מבקשת שייעשה מה שאתה אומר שהתחלתם, אני אשמח לדעת אם יש לכם לוח זמנים לעניין הזה, ואני אשמח לעקוב אחרי הפיתוח של החידוש הזה.

אנחנו לא יכולים להתחייב על לוח זמנים, בגלל העובדה הפשוטה שזה לא תלוי רק בנו. זה תלוי גם בהם, וזה תלוי גם בגורם המאשר הנוכחי הקיים.

מה, הוא יעשה סנקציות?

לא, הוא יצטרך לעשות שינוי במערכות שלו.

הבנתי, הבנתי. גם הוא צריך.

אבל אם אני עושה שינוי שמתאים לו, ובא הקיים ואומר: לי זה לא מתאים, אני לא יכול.

אז אתה לא יודע להעריך?

אני יכול להגיד בוודאות ולהתחייב שאנחנו פועלים לכיוון הזה, התחלנו אכן לפני חודשים בכיוון הזה, כי זה אינטרס חזק מאוד גם שלנו.

שנה זה מספיק זמן?

אני לא יודע.

אני שואלת אותך, מה אתה מעריך?

זה ברור שזה מורכב, ודנו בנושא הזה. אני לא מעריך שזה עד כדי כך מורכב.

כמה זמן אתה חושב שצריכים?

נתנו לפני כמה ימים את ההצעה שלנו למבנה שהוא יותר קרוב - -

ולא תבוא חברה שלישית אחר כך ותגיד שהמבנה שהצעת והתקבל, הוא לא מתאים?

המבנה עומד לפי הסטנדרט של "ממשל זמין". עם אותן סוגיות, עם אותו מבנה תעודה פחות או יותר - -

אז מה אתה מעריך? כמה זמן?

אני לא יכול להעיד בשמם כמובן, אבל לדעתי גם ל"קומסיין" לא תהיה בעיה טכנולוגית לקיים את הפורמט הזה. כי היא מבוססת על מבנה - - - "ממשל זמין".

כמה זמן היערכות של "קומסיין"?

לדעתי, היערכות קצרה מאוד. לשנות template כזה, לי זה לוקח שעה וחצי עבודה.

כי זה ה-template שאתה מכתיב.

בסדר, סליחה, קיבלתי.
היות והטכנולוגיה שלהם שונה, אני לא מעריך שיותר מחודש-חודשיים, בסיבוך הכי גדול ייקח להם להחליף template של תעודה. כי היום יש לו tamplates שונים, והוא מנפיק כל מיני סוגים של תעודות, וזה לא לוקח לו כל-כך הרבה זמן. אבל הם יעידו.

בתוך סד של שעה וחצי עד כמה חודשים – אני רוצה לנקוב פה בלוח זמנים כדי לדעת מה עשיתם עד לאותו לוח זמנים.

אני לא יכול. אני מצטער, לא יכול להתחייב על לוח זמנים. זה לא תלוי רק ברשות.

אל תתחייב, תמליץ. תציע לי מתי אתה רוצה שניפגש שוב.

שנה וחצי.

אני רוצה להגיד מילה אחת. אנחנו מדברים פה על דברים טכנולוגיים סבוכים - -

בסדר. אני לא מבינה בהם, לכן אני לא כופה את דעתי.

רשם הגורמים המאשרים הוציא הנחייה לפני כמה חודשים, לעבור לטכנולוגיה שנקראת: sha2 במקום:sha1. מי שלא בתחום היה אומר: שינוי קטן. החלפנו חומרה, החלפנו מערכות אבטחה, בהוצאות אדירות, פיתחנו מחדש סט שלם של עשרות בדיקות בגלל הנחיה שהיינו חייבים לעמוד בה. ושנה עבודה סיזיפית מהבוקר עד הערב – באמת, עבודה בלי סוף כולל גורמי חוץ ו-subcontractors, ושלושה חודשים רק בדיקות שחלילה המגנ"א לא תיפול בגלל איזושהי טעות, כי המערכת חייבת לעבוד 24 שעות ביממה ועל כל דיווח. עבדנו שנה וזה היה תלוי רק ברשות. זאת אומרת, ברגע שההנחיה של הרשם יצאה, זה היה רק בידיים שלנו ו-subcontractors שלנו.

פה אנחנו מדברים על שינוי גדול יותר, במבנה הכי בסיסי של האבטחה של מגנ"א שמצריך תיאום ושיתוף פעולה מלא עם שני גורמים חיצוניים. זה נשמע הרבה, אבל אנחנו עומדים במה שאנחנו אומרים. אני לא אגיד לך שנה, ואחרי שנה אבוא ואגיד לך: מצטער, לא הצלחנו. אני מנסה להגיד משהו ריאלי. ולהערכתנו, שנה וחצי זה משהו ריאלי.

אני רוצה ברשותכם שתי נקודות. התיקון שאנחנו מבקשים פה לאשר – אני לא בטוח שחייבים לכרוך את שני הדברים אחד בשני. מטרת הדיון היא לא שינוי המגנ"א, ולא שינוי המתכונת המאוד-מורכבת שנתן תיאר. אנחנו מבקשים פה בשם הציבור להקל עליהם בחידוש התעודה, זה הכול.

נקודה שנייה – וצריך להזכיר מה שנתן אמר קודם – מערכת המגנ"א היא המערכת הראשונה בישראל, שקיימת כבר עשר שנים בלי אף תקלה. היא הוקמה בזמנו עם מפרט של "סקיורנט" שהיא חברת האם של אותה חברה שבאה עכשיו ומבקשת פה, - - - והותאם להם. הם יצאו מהשוק, חזרו עכשיו בתצורה אחרת, ואומרים: לי זה לא מתאים.
לי בכלל לא ברור עד כמה אנחנו יכולים לסמוך על ​– אם משיקולים עסקיים ישנו עוד כמה חודשים את המבנה, או בכלל יחליטו לא להיכנס למגנ"א. אנחנו מוכנים לשנות את כל מערכת המגנ"א, אנחנו בעד להכניס עוד גורם מאשר. אבל צריך לא לשכוח מאיפה התחלנו, לאן אנחנו הולכים, ועד כמה לחייב את הרשות בתקנות לעמוד פה בבקשה של יוזמה עסקית שאנחנו בכלל לא בטוחים. כפי שנתן אמר, זה מצריך מאמצים של "קומסיין", וזה חברות פרטיות שלא חייבות לנו שום דבר.
אז אנחנו לא חושבים שבתקנות אנחנו צריכים להתחייב למועד. אנחנו מוכנים להתחייב לעשות את כל מה שניתן לעשות. אנחנו מוכנים לתת כמה זמן שנדרש בשביל להכניס את זה לתוקף. אבל להתחייב שעד אז כל המערכת תשתנה, זה משהו שאנחנו לא יכולים לקחת על עצמנו ואנחנו גם לא חושבים שזה ראוי במסגרת הזאת לחייב את הרשות.

לכן במובן הזה, שינוי של יום התחילה פה – אנחנו הרי לא נדחה אותו לעוד שנה וחצי. אבל שינוי של משהו כמו עוד חודש או חודשיים לא יעזור לך במצב הזה.

קודם כל, בשינוי המהותי שהוא שינה וששינו כבר אז, אנחנו דנו אתם שאם כבר עושים את השינוי, שיכילו גם אותנו בשינוי.

באוקטובר דיברת על שינוי שהתחלנו לעשות אותו בפברואר.

אנחנו כבר נתנו לכם קודם - -

טוב, אני רוצה רגע - -

עוד דבר, בדיונים הפנימיים שלנו לא דובר אתנו על שנה וחצי. דיברו אתנו על רבעון שני, רבעון שלישי, של השנה הנוכחית. לא דיברו אתנו על שנה וחצי. זו פעם ראשונה שאני שומע עכשיו על שנה וחצי.

כל השיח הזה לא עושה לכם טוב. לך בטח לא. אנחנו כולנו בני אדם, ועכשיו אתה יוצר אנטגוניזם, והם כעס, אני יודעת איך זה עובד.

אני רוצה להכריע כך את הדברים. ראשית, אנחנו נעביר את התקנות כפי שהן, כשאנחנו מדברים לתאריך תחילה לתעודות החדשות ולא הקיימות.
באשר לבקשה שהיא לגיטימית, לא מבחינת החברה – אני לא רוצה מונופולים, אני לא רוצה חברה אחת בשוק בשום פנים ואופן. ואני מקווה שיהיו עוד חברות, שבדיון הבא ישבו פה לפחות עוד שלוש-ארבע חברות גם כן. מה גם שהוא אומר בצדק שצריך להתאים את זה למתכונת של "ממשל זמין" שזה השפה הרווחת היום בקרב כל הרשויות.

ולכן אני מבקשת, בעוד שנה להגיע לדיון בוועדה, להתכוונן לסיום ההיערכות למתכונת החדשה שתואמת את "ממשל זמין". והיה ותבואו לכאן וזה לא מוכן, ותנמקו, בסדר. ואם תנמקו ואני לא אשתכנע, אז זה לא מוסיף כבוד לאף אחד. זה הכול. זה לא שאני הולכת להכות בכם. אני מבקשת להשתדל להתכוונן לסיים את זה בתוך שנה. אנחנו ניפגש בכל מקרה בעוד שנה על הנושא הזה, ואולי קודם לכן בנושאים אחרים.

אנחנו נצביע רק על הנוסח האחרון, זאת אומרת, על סעיף 3 - -

אני חושבת - -

את משאירה את זה כפי שזה, ובפרוטוקול רשום - -

אני חושבת שזה בכל מקרה חל מכאן ואילך. כלומר, כל תעודה חדשה שנכנסת למחזור, הם יכולים מבחינתם לנפק לה או לא, וכל חברה ונקודת הזמן שלה.

מאה אחוז. למרות שמובן לי שכרגע אף אחד לא ייכנס עד שכנראה לא ייעשה השינוי, וניפגש בעוד שנה.

מי בעד סעיף 3? מי נגד? מי נמנע?

הצבעה
בעד סעיף 3 – 1

נגד – אין

נמנעים – אין

סעיף 3 נתקבל.

התקבל פה אחד – ובאת בדיוק לברך על הסיום – תודה רבה, הישיבה נעולה.

<הישיבה ננעלה בשעה 10:15.>
� ס"ח התשכ"ח, עמ' 234; התשס"ג, עמ' 70.

� ק"ת התשס"ג, עמ' 594.