Israel ha avanzado con una potencial ley cibernética revolucionaria, la cual podría ser considerada por varios comités de la Knesset tan pronto como el próximo mes.
El texto del nuevo proyecto de ley fue publicado durante el fin de semana, y si finalmente es aprobado, se convertirá en la primera ley cibernética permanente del país.
Hasta ahora, la Dirección Nacional de Ciberseguridad de Israel (INCD) ha operado en diversas capacidades durante aproximadamente una década, mayormente a través de decisiones ejecutivas y regulaciones de emergencia temporales emitidas por el primer ministro o el gabinete.
Esto no solo ha limitado algunos de los poderes de la INCD para proteger al país de ciberataques de adversarios como Irán, Hezbolá y Hamás, sino que también ha dejado a Israel rezagado respecto a muchos otros países occidentales que han promulgado legislación cibernética en la última década.
Equilibrando protección y privacidad
Dos de los problemas más significativos para la legislación son determinar cuándo y cómo las empresas del sector privado y las agencias gubernamentales deben informar al INCD que están siendo objeto de un ciberataque, y cuándo y cómo deben informar a sus clientes y proveedores.
Por un lado, el INCD y agencias similares en otros países desean actualizaciones del sector privado lo suficientemente rápido como para actuar sobre ellas y marcar la diferencia, especialmente para prevenir que una única penetración se propague a la infraestructura crítica en todo un sector de la economía.
Por otro lado, existen preocupaciones de privacidad y comerciales sobre exigir a las empresas del sector privado que revelen cierta información interna privilegiada o secretos comerciales al INCD, clientes y proveedores, lo cual, si se abusa, podría socavar ilegal y injustamente un negocio.
Según la propuesta de ley cibernética, si hay un "daño potencial grave" para el país, las agencias privadas y gubernamentales "críticas" estarían obligadas a informar de inmediato y en tiempo real sobre un ciberataque.
Las leyes cibernéticas iniciales en otras democracias a menudo establecen períodos de reporte de 24-72 horas, pero el volumen de ciberataques ha aumentado, y desde que comenzó la Guerra entre Israel y Hamas, el estado judío se ha convertido en el tercer país más atacado cibernéticamente en el mundo.
Esto llevó al INCD a proponer un requisito de reporte más inmediato. Sin embargo, esto no se aplica a gran parte del sector privado, especialmente a las empresas más pequeñas que no están involucradas en infraestructuras críticas.
Dicho esto, si hace varios años había 31 categorías de partes de la economía consideradas "críticas", sumando posiblemente un par de cientos de empresas, para el año 2026, el número de organizaciones que caerían dentro de estos requisitos de reporte podría llegar a ser entre 400 y 600, según lo informado por The Jerusalem Post.
Como requisito de equilibrio para garantizar supervisión y límites en el uso de esta información por parte del INCD, este necesitará reportar al fiscal general y al Comité de Asuntos Exteriores y Defensa de la Knesset al menos una vez al año sobre los ciberataques e información recibida de empresas del sector privado.
Este es menos que el informe bimensual que el INCD ha estado entregando a la Oficina del Fiscal General y al comité de defensa de la Knesset, establecido bajo las regulaciones de emergencia durante la guerra.
Sin embargo, se cree que se necesita más supervisión para las regulaciones de emergencia que no han sido debatidas públicamente y a fondo como las leyes permanentes.
En contraste, una ley permanente ofrecería protecciones adicionales y sería más legítima, ya que habría sido aprobada por la Knesset en lugar de por una votación remota y virtual de ministros del gabinete.
Todavía hay muchas incertidumbres sobre la aprobación de la ley.
El INCD ha estado tratando de aprobar una ley de este tipo durante casi una década, y cada jefe del INCD ha pasado por diferentes versiones de lo que creían que lograría el equilibrio adecuado.
El ex jefe del INCD, Gaby Portnoy, en una de varias conversaciones exclusivas, le dijo al Post poco después de asumir el cargo en 2022 que finalmente sería él quien lograría que se aprobara después de que sus predecesores lucharan duro y no lo lograran.
En otra conversación con el Post en mayo de 2025, Portnoy dijo, poco después de renunciar al INCD, que la batalla realmente había estado casi ganada y que la ley podría estar a meses de ser aprobada. Ahora le toca a Yossi Karadi, su sucesor, intentar realmente aprobar la ley.
A principios de 2023, Portnoy presentó al primer ministro Benjamin Netanyahu y a sus ministros el hecho de que Israel ya estaba rezagado con respecto a Alemania, Australia, Inglaterra, Estados Unidos y la UE.
A diferencia de ellos, el país no había estado proporcionando regulaciones que obligaran a los sectores público y privado a centrarse en nueva infraestructura crítica, a presentar informes dentro de plazos establecidos (a menudo de 24 a 72 horas) si se producía un hackeo, y a explicar qué medidas el gobierno puede tomar para hacer cumplir los estándares de defensa cibernética y la presentación de informes.
Si había logrado tanto progreso, ¿por qué Portnoy mismo no completó el trabajo antes? Respondió en mayo de 2025: "Decidimos que la ley cibernética necesitaba ser una ley cibernética nacional, que no solo cubriera al INCD, sino a todo el país, lo que aumentó enormemente su complejidad".
"Necesitábamos identificar y delegar tipos específicos de autoridades a cada ministerio del gobierno y también coordinar con todos los diversos cuerpos de seguridad del país. Cada cuerpo de seguridad tiene su propia idea de cómo deberían ser las cosas", dijo.
Pero Netanyahu sí logró avanzar las cosas, dijo Portnoy, incluso cuando los dos no han tenido la relación personal más cercana.
El Shin Bet (Agencia de Seguridad de Israel) y las Fuerzas de Defensa de Israel necesitaban definir su visión y metas cibernéticas, y cada agencia tenía que definir su especialidad ya que el INCD "no puede hacerlo solo".
Definiendo al INCD para la nueva ley, Portnoy dijo, "Somos un cuerpo operativo en todos los sentidos. Estábamos listos para la guerra... incluso teníamos 'reservas' operativas para llamar. Pero aún podríamos mejorar, y la duración de la guerra ha desafiado a nuestras reservas".
Al mismo tiempo, afirmó que el INCD es "también un cuerpo tecnológico. Necesitamos dar soluciones a nivel estatal para Israel".
En cuanto a Karadi, dijo: "El Estado de Israel está bajo un ataque constante por parte de nuestros enemigos que están realizando esfuerzos para dañar la funcionalidad continua de las operaciones y nuestras vidas".
A continuación, Karadi declaró que la nueva ley permitirá que el INCD pueda actuar mucho más rápidamente para bloquear y contener ciberataques.
Finalmente, agregó que "establece un alto estándar obligatorio de defensa cibernética para las organizaciones sin el cual no pueden funcionar". Este es un paso crítico para "la resiliencia nacional y para proteger la seguridad de la economía" y de los ciudadanos israelíes.