ב- 27 ביוני 2018, המשרד לביטחון פנים בהתבסס על סעיף 21 לחוק אבטחת הסייבר, ניסח את "התקנות על רמות הגנת אבטחת הסייבר" והודיע על טיוטה לבקשת חוות דעת מהציבור.
נכון לעכשיו הטיוטה עדיין לא הפכה לחוק שהוכרז רשמית.
נקודות הליבה של הטיוטה הן כדלקמן:
(1) מערכת הרשת תחולק לחמש רמות הגנה ביטחוניות על פי חשיבותה בביטחון לאומי, בבנייה הכלכלית ובחיי החברה.
חשיבותה של מערכת הרשת עולה בהדרגה מהרמה הראשונה לרמה החמישית. (סעיף 15)
מערכות רשת ברמות שונות מציינות את מידת הפגיעה באינטרסים הרלוונטיים במקרה של אירוע אבטחת רשת של מערכת הרשת באותה רמה, כדלקמן:
רמה 1: הביטחון הלאומי, הסדר החברתי ואינטרסים הציבוריים לא יסכנו;
רמה 2: הסדר החברתי והאינטרסים הציבוריים יימצאו בסכנה, וביטחון המדינה לא יסכן;
רמה 3: הסדר החברתי והאינטרסים הציבוריים יהיו בסכנה קשה, או ביטחון המדינה ייסכן;
רמה 4: הסדר החברתי ואינטרסים ציבוריים יימצאו בסכנה קשה במיוחד, או שביטחון המדינה ייסכן קשה;
דרגה 5: הביטחון הלאומי נמצא בסכנה קשה במיוחד.
(2) מפעיל הרשת יקבע את רמת הגנת האבטחה של הרשת בשלב התכנון והעיצוב, והמומחים והרשויות המוסמכות יאשרו את רמתה. לאחר אישור הרמה, על מפעיל הרשת להגיש גם את הגורם לביטחון הציבור. (סעיפים 16, 17, 18)
(3) על מפעילי הרשת לבצע חובות אבטחה הכרחיות, ומפעילי רשתות מעל רמה 3 צריכים לבצע חובות הגנה אבטחה מיוחדות. (סעיפים 20 ו- 21)
(4) אם מוצרי ושירותי רשת שנרכשו על ידי מפעילי רשת עשויים להשפיע על הביטחון הלאומי, מוצרים ושירותים אלה צריכים לעבור ביקורות ביטחון לאומיות שמארגנות רשויות הרגולציה. (סעיף 28)
(5) רשתות מעל רמה 3 יישמרו בתוך המדינה, ותחזוקה טכנית מרחוק לא תותר בחו"ל. (סעיף 29)
(6) על מפעילי הרשת לדווח על ניטור אבטחת הרשת ועל מידע על אזהרות מוקדמות ועל תקריות אבטחת רשת לרשויות הרגולטוריות, להקים נתונים חשובים ומנגנוני הגנת אבטחת מידע אישי, ולגבש ולהפעיל תכניות חירום לאבטחת רשת. (סעיף 30, 31, 32)