מהו "ראיות אלקטרוניות"?

"ראיות אלקטרוניות" — קיצור של "ראיות דיגיטליות" — הוא מונח כללי המתייחס לכל מידע דיגיטלי המשמש לחקירה, העמדה לדין או הכרעה בעבירות פליליות. במובן הרחב ביותר, המושג מקיף את כל סוגי המידע, החל מתכתובות דוא"ל, הודעות צ'אט ומסמכים המאוחסנים בענן, וכלה ביומני חיבורי IP, רישומי מנויים ונתוני מיקום גיאוגרפי. אם נתון כלשהו קיים בצורה אלקטרונית והוא רלוונטי לתיק פלילי, הוא נחשב כראיה אלקטרונית.

בהקשר של דיני האיחוד האירופי, המונח קיבל משמעות ספציפית הרבה יותר מאז שנת 2023. כאשר מחוקקים, רגולטורים וענף התקשורת מתייחסים כיום ל“ראיות אלקטרוניות”, הם מתכוונים כמעט תמיד למסגרת המשפטית והטכנית שנוצרה על ידי תקנה (האיחוד האירופי) 2023/1543 — צווי ההפקה והשימור האירופיים לגבי ראיות אלקטרוניות בהליכים פליליים — והמסמך הנלווה אליו הנחייה (האיחוד האירופי) 2023/1544, אשר יחד יוצרים מנגנון חדש לאיסוף ראיות חוצה גבולות בכל 27 מדינות האיחוד האירופי.

לא ניתן להפריז בחשיבותה של מסגרת זו. לפני כניסתה לתוקף של תקנת הראיות האלקטרוניות, השגת ראיות דיגיטליות המאוחסנות במדינה אחרת באיחוד האירופי הצריכה הגשת בקשה במסגרת אמנת הסיוע המשפטי ההדדי (MLAT) — תהליך דיפלומטי שיכול היה להימשך עשרה חודשים ואף יותר. התקנה החדשה מאפשרת לתובע או לשופט במדינה חברה אחת להוציא צו ישירות לספק שירות במדינה אחרת, כאשר מועדי התגובה נמדדים בימים ולא בחודשים. במקרים דחופים הקשורים לטרור או לאיומים מיידיים על החיים, המועד הוא שמונה שעות בלבד.

מסגרת ה-e-Evidence מייצגת שינוי מהותי באופן איסוף הראיות הדיגיטליות מעבר לגבולות. היא מעבירה את האחריות מדיפלומטיה בין-מדינתית ליחסים ישירים בין רשויות שיפוטיות לספקי שירותים, ומטילה דרישות תפעוליות וטכניות משמעותיות על כל חברה המציעה שירותי תקשורת אלקטרונית, אחסון בענן, רשתות חברתיות או שירותי מסחר מקוון בתוך האיחוד האירופי.

תולדות הראיות האלקטרוניות באירופה

הדרך לקראת מסגרת אירופית אחידה בתחום הראיות האלקטרוניות החלה הרבה לפני שהתקנה אומצה באופן רשמי. הבנת ההיסטוריה הזו חיונית כדי להבין מדוע קיימים הכללים הנוכחיים ולאן הם מובילים.

במשך עשרות שנים, הגישה חוצת-גבולות לראיות אלקטרוניות התבססה על אמנת מועצת אירופה לסיוע הדדי בעניינים פליליים (2000) ועל אמנת בודפשט בנושא פשעי סייבר (2001). מסמכים אלה קבעו את העיקרון שלפיו מדינה אחת יכולה לבקש את עזרתה של מדינה אחרת בהשגת ראיות דיגיטליות, אך התהליך היה מסורבל. הבקשות הועברו דרך רשויות ממשלתיות מרכזיות, הצריכו תרגום והיו כפופות להליכים הפנימיים של המדינה המגיבה. זמן התגובה הממוצע נמשך מעבר לעשרה חודשים — נצח בחקירות פליליות שבהן חשודים יכולים להשמיד ראיות בשניות.

צו החקירה האירופי (EIO), שהונהג באמצעות הנחייה 2014/41/EU, שיפר את המצב בתוך האיחוד האירופי באמצעות יצירת מכשיר הכרה הדדית אחיד יותר. אף שצו החקירה האירופי קיצר את משך הטיפול לכ-120 יום, הוא עדיין הסתמך על ערוצים בין-מדינתיים והתגלה כבלתי מספק לנוכח הקצב המהיר של הפשיעה הדיגיטלית המודרנית. הערכת ההשפעה של הנציבות האירופית עצמה מצאה כי יותר מ-85 אחוזים מחקירות הפלילים דרשו גישה לראיות אלקטרוניות, וכי בכשני שלישים מהמקרים הללו הנתונים הרלוונטיים היו מאוחסנים בתחום שיפוט אחר.

באפריל 2018 פרסמה הנציבות האירופית את הצעות החקיקה שלה בנושא ראיות אלקטרוניות. לאחר חמש שנות משא ומתן בין הפרלמנט האירופי למועצה, אומצו הנוסחים הסופיים ב-12 ביולי 2023 ופורסמו ב"עיתון הרשמי" כתקנה (EU) 2023/1543 וכדירקטיבה (EU) 2023/1544. התקנה חלה באופן ישיר בכל מדינה חברה החל מ-18 באוגוסט 2026. ההנחיה, המחייבת את המדינות החברות לייעד את הרשויות והערוצים לביצוע הצווים, הייתה אמורה להיות מיושמת עד 18 בפברואר 2026.

בגרמניה, החוק ליישום — חוק יישום ואכיפת ראיות אלקטרוניות (EBewMG) — פורסם ב"עיתון החוקים הפדרלי" במרץ 2026, והוא נכנס לתוקף בהדרגה. המשרד הפדרלי לצדק של גרמניה (Bundesamt für Justiz) הוכרז כרשות המרכזית לקבלת ואימות בקשות נכנסות, בעוד שה-Bundesnetzagentur ממשיכה בתפקידה הקבוע כרגולטור הטכני בכל הנוגע לחובות היירוט החוקי ושמירת הנתונים.

הסבר על תקנת האיחוד האירופי בנושא ראיות דיגיטליות

תקנה (האיחוד האירופי) 2023/1543 מציגה שני מכשירים משפטיים חדשים המאפשרים לרשויות השיפוטיות במדינה חברה אחת באיחוד האירופי לחייב ספקי שירותים במדינה אחרת להציג או לשמור ראיות אלקטרוניות. מכשירים אלה עוקפים לחלוטין את הערוצים הדיפלומטיים המסורתיים, ויוצרים קשר משפטי ישיר בין הרשות המנפיקה לבין ספק השירות.

הזמנת ייצור אירופית (EPOC)

צו ההפקה האירופי מחייב ספק שירות למסור ראיות אלקטרוניות ספציפיות לרשות השיפוטית המבקשת. צו כזה יכול להתייחס לארבע קטגוריות של נתונים, שלכל אחת מהן סף שונה להוצאת הצו. ניתן לבקש נתוני מנוי ונתוני גישה (כגון רישומי כניסה וכתובות IP הקשורות לחשבון) בכל עבירת פשע. ניתן לבקש נתוני עסקאות (מטא-נתונים על תקשורת, כגון חותמות זמן, מזהי שולח ומקבל ומשך הפעילות) ונתוני תוכן (התוכן הממשי של הודעות, דוא"ל, קבצים מאוחסנים או הקלטות קול) רק בגין עבירות שדינן עונש מאסר מרבי של שלוש שנים לפחות, או בגין עבירות ספציפיות המפורטות ברשימה, לרבות פשעי סייבר, טרור, ניצול מיני של קטינים והונאה.

יש למלא צווי הפקה סטנדרטיים בתוך עשרה ימים מיום קבלתם. במצבי חירום מוגדרים — שבהם קיים איום מיידי על חיי אדם, על שלמות גופנית או על תשתית קריטית — מועד התגובה מתקצר לשמונה שעות בלבד. לוחות זמנים אלה אינם ניתנים למשא ומתן והם חלים ללא תלות בהיקף הנתונים המבוקשים או במורכבות המערכות הפנימיות של הספק.

צו שימור אירופי (EPOC-PR)

צו השימור האירופי מחייב את ספק השירות להקפיא נתונים ספציפיים ולמנוע את מחיקתם או שינוים. השימור אינו מחייב את הספק למסור את הנתונים באופן מיידי; במקום זאת, הוא מבטיח את שמירת הראיות בזמן שהרשות המנפיקה מכינה צו מסירה מלא או בקשה מסורתית לסיוע משפטי הדדי. צו שימור נשאר בתוקף למשך 60 יום, עם אפשרות להארכה של 30 יום. אם לא מתקבלת בקשת מסירה המשך בתוך תקופה זו, על הספק לבטל את השימור והוא רשאי למחוק את הנתונים בהתאם למדיניות השמירה הרגילה שלו.

אמצעי הגנה ומנגנוני התנגדות

התקנה כוללת מספר אמצעי הגנה שנועדו לשמור על זכויות יסוד ולמנוע ניצול לרעה. כל צו מסירה הנוגע לנתוני עסקאות או לתכנים חייב להיות מאושר על ידי רשות שיפוטית במדינה המנפיקה, והודעה נשלחת למדינה המבצעת (מדינת החבר שבה ממוקם הסניף המיועד של הספק). רשויות המדינה המבצעת יכולות להגיש התנגדות בתוך עשרה ימים אם הצו סותר חסינויות, זכויות יתר, כללים בנוגע לחופש העיתונות או זכויות יסוד על פי אמנת האיחוד האירופי. ספקי השירות עצמם יכולים גם הם להתנגד אם הציות לצו יסתור התחייבויות על פי החוק של מדינה שלישית — הוראה שנועדה לטפל בסתירות פוטנציאליות עם חוקי הגנת נתונים שאינם של האיחוד האירופי.

מסגרות משפטיות מחוץ לאיחוד האירופי

אמנם תקנת האיחוד האירופי בנושא ראיות אלקטרוניות מהווה את המסגרת המקיפה והמפורטת ביותר מבחינה טכנית בכל הנוגע לראיות אלקטרוניות חוצות גבולות, אך היא אינה עומדת בפני עצמה. מספר מסמכים בינלאומיים נוספים מעצבים את הזירה העולמית בתחום איסוף הראיות הדיגיטליות.

ה אמנת בודפשט בנושא פשיעת סייבר, המנוהל על ידי מועצת אירופה, נותר האמנה הבינלאומית הנפוצה ביותר בתחום הפשיעה המקוונת וראיות אלקטרוניות. הפרוטוקול הנוסף השני שלה, שנפתח לחתימה בשנת 2022, מכניס לתוקף שיתוף פעולה ישיר עם ספקי שירותים, גילוי מזורז של מידע על מנויים וצוותי חקירה משותפים — מנגנונים המקבילים למרכיבים בתקנה של האיחוד האירופי, אך חלים על קבוצה רחבה יותר של מדינות חתומות, בהן ארצות הברית, קנדה, יפן, אוסטרליה ומספר מדינות באמריקה הלטינית.

בארצות הברית, חוק CLOUD (Clarifying Lawful Overseas Use of Data) משנת 2018 קבע מסגרת להסכמים דו-צדדיים בין רשויות ביצוע, המאפשרת לרשויות אכיפת החוק במדינה אחת לבקש נתונים ישירות מספקים במדינה השנייה. האיחוד האירופי וארצות הברית מנהלים משא ומתן על הסכם ביצועי במסגרת חוק CLOUD, שיקבע כיצד ספקים שממוקמים בארצות הברית יגיבו לצווי גילוי אירופיים ולהפך — חלק קריטי בפאזל, בהתחשב בכך שרבות מפלטפורמות הענן והתקשורת הגדולות בעולם ממוקמות בארצות הברית.

הממלכה המאוחדת קבעה מסגרת משלה לעניין ראיות חוצות גבולות באמצעות חוק הפשיעה (צווי גילוי מידע מחו"ל) משנת 2019, המאפשר לבתי המשפט בבריטניה להורות לספקי שירותים במדינות עמן יש לבריטניה הסכם דו-צדדי להציג ראיות אלקטרוניות. בעקבות הברקזיט, בריטניה כבר אינה נכללת בתחום תחולתו של תקנת האיחוד האירופי בנושא ראיות אלקטרוניות, ולכן הסכמים דו-צדדיים מהווים את המנגנון העיקרי לשיתוף פעולה בין בריטניה לאיחוד האירופי בתחום הראיות.

יישום ראיות אלקטרוניות בגרמניה

גרמניה תופסת מקום מרכזי בתחום הראיות האלקטרוניות באירופה, הן כמעצמה כלכלית דיגיטלית מרכזית הכוללת אלפי ספקי שירותים הנוגעים בדבר, והן כשיפוט בעל מסורת מחמירה במיוחד בתחום הגנת המידע ורגולציית התקשורת.

חוק יישום ואכיפת ראיות אלקטרוניות (EBewMG) מעביר את הוראות הדירקטיבה (EU) 2023/1544 לחוק הגרמני וקובע את הנהלים המקומיים לטיפול בצווי ראיות אלקטרוניות נכנסים ויוצאים. ה-Bundesamt für Justiz (המשרד הפדרלי לצדק) משמש כרשות המרכזית עבור צווי הפקה ושימור אירופיים נכנסים המופנים לספקי שירותים בעלי סניף ייעודי בגרמניה. ה-Bundesnetzagentur שומר על תפקידו הקבוע באישור התשתית הטכנית ליירוט והעברת נתונים המופעלת על ידי ספקי השירותים.

לפי נתוני משרד המשפטים הפדרלי הגרמני, כ-9,000 חברות בגרמניה נכללות בתחום תחולתו של תקן הראיות האלקטרוניות. מספר זה חורג בהרבה ממפעילות התקשורת המסורתיות וכולל ספקי שירותי ענן, חברות אחסון, פלטפורמות מסחר אלקטרוני, רשתות חברתיות וכל גורם אחר המאחסן או מעבד נתוני תקשורת אלקטרונית במסגרת שירותיו. כל ספק שנפגע מכך חייב למנות נקודת קשר רשמית באיחוד האירופי — המכונה Adressat — שתהיה אחראית על קבלת, אימות וביצוע צווי הפקה ושימור. כמו כן, על הספקים להירשם ב-Bundesamt für Justiz ולהקים תהליכי עבודה פנימיים שיוכלו לעמוד בלוחות הזמנים הקפדניים שנקבעו בתקנה.

תקני ETSI בנושא ראיות אלקטרוניות: הסבר על תקן TS 104 144

המכון האירופי לתקני תקשורת (ETSI) פיתח תקן טכני ייעודי כדי לתמוך ביישום המעשי של תקנת הראיות האלקטרוניות. ETSI TS 104 144, שפורסם ביוני 2025 תחת הכותרת “הגדרת ממשקים לתקנת הראיות האלקטרוניות (האיחוד האירופי) 2023/1543 עבור רשויות לאומיות וספקי שירותים”, מגדיר את הממשקים והפורמטים הסטנדרטיים של נתונים שעל הרשויות הלאומיות וספקי השירותים להשתמש בהם בעת חילופי צווי גילוי, צווי שימור והראיות האלקטרוניות הנלוות.

תקן ETSI TS 104 144 הוא חלק ממערך רחב יותר של תקני ETSI בתחום היירוט החוקי ושמירת נתונים, הכולל את משפחת התקנים TS 102 232 (להעברת מידע מיירוט חוקי בזמן אמת), TS 102 657 (להעברת נתונים שנשמרו) ו-TS 103 707 (ליירוט שירותי OTT). בעוד שתקנים קודמים אלה מתמקדים במעקב בזמן אמת ובמטא-נתונים היסטוריים, תקן TS 104 144 עוסק בדרישות הספציפיות של זרימת העבודה וחילופי הנתונים של מנגנוני צווי הגשת ושימור הראיות האלקטרוניות (e-Evidence) הקבועים בתקנה.

מה מגדיר תקן ETSI TS 104 144?

התקן מפרט את הממשק הטכני בין מערכות הרשויות הלאומיות (המנפיקות, מעבירות ומעקב אחר צווים) לבין מערכות ספקי השירות (המקבלות, מאמתות, מבצעות ומגיבות לצווים אלה). הוא מגדיר את מבני הנתונים עבור כל סוג של צו — צו ייצור, צו שימור והאישורים, ההתנגדויות והתגובות הנלווים אליהם — תוך שימוש בשפות תיאור נתונים פורמליות המאפשרות עיבוד אוטומטי.

התקן מכסה את מחזור החיים המלא של צו ראיות אלקטרוניות: ההנפקה הראשונית והעברה מאובטחת של הצו לספק השירות; אישור קבלתו על ידי הספק; תהליך האימות והביצוע; העברת הראיות האלקטרוניות המבוקשות באופן מובנה חזרה לרשות המנפיקה; וטיפול בהתנגדויות, הארכות וביטולים. על ידי הגדרת אינטראקציות אלה כממשקים סטנדרטיים, TS 104 144 מבטיח תאימות בין מערכות ה-IT המגוונות המופעלות על ידי רשויות וספקים בכל 27 מדינות האיחוד האירופי.

התקן נועד לפעול בשילוב עם פלטפורמת ה-e-CODEX (תקשורת משפטית אלקטרונית באמצעות חילופי נתונים מקוונים) של האיחוד האירופי, המשמשת כעמוד השדרה של התקשורת הדיגיטלית המאובטחת להעברת צווים וראיות בין רשויות שיפוטיות לספקי שירותים ברחבי האיחוד האירופי. תקן ETSI TS 104 144 מגדיר את פורמטי הנתונים ואת דפוסי האינטראקציה, בעוד ש-e-CODEX מספקת את תשתית ההעברה והניתוב.

הקשר בין TS 104 144 לתקני ETSI LI הקיימים

ספקי שירותים המפעילים כבר תשתית ליירוט חוקי ושמירת נתונים התואמת ל-ETSI יזהו עקרונות ארכיטקטוניים רבים מתוך תקן TS 104 144. התקן פועל על פי הדפוס המקובל של ETSI, המפריד בין ממשק הבקשות (אופן קבלת הצווים) לממשק המסירה (אופן העברת הראיות), והוא עושה שימוש במנגנוני אבטחה דומים לאימות, הצפנה ואימות תקינות. ספקים עם יישומים קיימים של TS 102 232 ו-TS 102 657 יכולים לשלב יכולות ראיות אלקטרוניות בפלטפורמות התאימות שלהם מבלי לבנות מחדש את התשתית הליבה שלהם — יתרון משמעותי למפעילים שכבר השקיעו במערכות יירוט חוקיות מבוססות תקנים.

כיצד מתנהל תהליך הראיות האלקטרוניות? סקירה טכנית

תהליך הראיות האלקטרוניות כרוך ברצף מוגדר של אינטראקציות בין רשויות שיפוטיות, רשויות מרכזיות לאומיות וספקי שירותים. אף שהמסמכים המשפטיים הם חדשים, זרימת העבודה הבסיסית עוקבת אחר דפוס הגיוני שמומחי ציות בתחום התקשורת ימצאו מוכר מתהליכי היירוט החוקי ושמירת הנתונים הקיימים.

שלב 1: הוצאת הצו

רשות שיפוטית במדינה חברה באיחוד האירופי — בדרך כלל תובע או שופט — קובעת כי ראיות אלקטרוניות המוחזקות בידי ספק שירות נחוצות לצורך חקירה פלילית. הרשות ממלאת תעודת צו הצגה אירופי (EPOC) או תעודת צו שימור אירופי (EPOC-PR) באמצעות הטפסים הסטנדרטיים המצורפים לתקנה. בתעודה מצוין היעד (המוזכר לפי חשבון, כתובת דואר אלקטרוני, מספר טלפון, כתובת IP, מזהה מכשיר או דומה), סוגי הנתונים המבוקשים, הבסיס המשפטי והמועד האחרון הרלוונטי.

שלב 2: העברה לספק השירות

ההוראה מועברת למפעל שמונה על ידי ספק השירות או לנציגו המשפטי באיחוד האירופי. ההעברה מתבצעת באמצעות מערכת ה-IT המבוזרת שהוקמה מכוח התקנה, המבוססת על תשתית ה-e-CODEX. במקביל, נשלחת הודעה לרשות המרכזית של המדינה האוכפת (למשל, ה-Bundesamt für Justiz בגרמניה) כדי שתוכל לפקח על התהליך ולהעלות התנגדויות במידת הצורך.

שלב 3: קבלה, אימות ואישור

מערכת הציות של ספק השירות מקבלת את הצו באמצעות הממשק הסטנדרטי המוגדר בתקן ETSI TS 104 144. על הספק לאשר את קבלת הבקשה ללא דיחוי ולהתחיל בתהליך האימות. האימות כולל בדיקה שהבקשה מלאה מבחינה פורמלית, שלרשות המבקשת יש סמכות שיפוטית, שקטגוריות הנתונים עולות בקנה אחד עם דרישות סף העבירה ושציות לבקשה לא יסתור התחייבויות משפטיות כלפי מדינות שלישיות. אם הבקשה תקפה, הספק ממשיך לביצועה. אם יש עילה להתנגדות, על הספק להודיע עליה בתוך פרק הזמן שנקבע.

שלב 4: חילוץ נתונים והעברתם

במקרה של צווי גילוי, הספק מחלץ את הנתונים המבוקשים ממערכותיו — רשומות מנויים, יומני גישה, מטא-נתונים של עסקאות או נתוני תוכן, בהתאם להיקף הצו — מעצב אותם בהתאם לתקנים הטכניים הרלוונטיים ומעביר אותם באופן מאובטח לרשות המנפיקה באמצעות פלטפורמת e-CODEX. העברת הנתונים חייבת להתבצע בתוך פרק הזמן שנקבע בצו: עשרה ימים עבור צווים רגילים, ושמונה שעות במקרי חירום. במקרה של צווי שימור, הספק מקפיא את הנתונים שצוינו במקומם, מבטיח שלא יימחקו, ישונו או יהפכו לבלתי נגישים, ומאשר את השימור לרשות המנפיקה.

שלב 5: פיקוח, התנגדות וסיום

לאורך כל התהליך, הרשות במדינה המבצעת שומרת על הפיקוח. אם הרשות קובעת שהצו סותר זכויות יסוד, חסינויות, זכויות יתר או אינטרסים של ביטחון לאומי, היא רשאית להגיש התנגדות רשמית שתביא להקפאת הביצוע. על הרשות המנפיקה לבחון מחדש את הצו, לבטלו או לשנותו. לאחר מסירת הראיות (או עם תום תקופת השימור ללא בקשה להמשך), הצו נסגר וחובותיו של הספק מסתיימות — אם כי יש לשמור את רישומי הביקורת לצורך תיעוד הציות.

מי מחויב לקיים את תקנות הראיות האלקטרוניות?

היקף תחולתו של תקן הראיות האלקטרוניות רחב בהרבה מחובות היירוט החוקי המסורתיות. בעוד שהיירוט החוקי חל בעבר בעיקר על מפעילי תקשורת וספקי שירותי אינטרנט, תקן הראיות האלקטרוניות חל על כל גוף המספק שירותים בתוך האיחוד האירופי הכרוכים באחסון או בעיבוד של נתונים אלקטרוניים מטעם המשתמשים. התקן מפרט במפורש את הקטגוריות הבאות של ספקי שירותים.

ספקי שירותי תקשורת אלקטרונית

כל ספקי שירותי התקשורת האלקטרונית כהגדרתם בקוד האירופי לתקשורת אלקטרונית (EECC, הנחייה 2018/1972). זה כולל מפעילי טלפוניה מסורתית, מפעילי רשתות סלולריות, ספקי VoIP, שירותי דואר אלקטרוני ופלטפורמות להעברת הודעות בין-אישיות כגון WhatsApp, Telegram, Signal ו-Microsoft Teams. ספקים אלה כבר מכירים את חובות היירוט החוקי ושמירת הנתונים, אך תקנת הראיות האלקטרוניות מוסיפה תהליך עבודה חדש של צווי הפקה ושימור חוצי גבולות לדרישות הציות הקיימות שלהם.

ספקי שירותים לחברה המידעית

קטגוריה רחבה בהרבה הכוללת פלטפורמות אחסון ומחשוב בענן (כגון AWS, Microsoft Azure, Google Cloud וספקי אחסון אירופיים קטנים יותר), רשתות מדיה חברתית, זירות מסחר מקוונות, מאגרי שמות דומיין ורשמי שמות דומיין, וכל שירות אחר המאחסן או מעבד נתוני משתמשים באופן אלקטרוני. קטגוריה זו מכניסה לתחום ההחלה אלפי חברות שמעולם לא נדרשו בעבר לעמוד בחובות הדומות ליירוט חוקי.

שירותי שמות מתחם באינטרנט ומספרי IP

ספקי שירותי רישום שמות מתחם, פתרון DNS והקצאת כתובות IP — לרבות מפעילי מאגרי מידע מסוג WHOIS/RDAP — נכללים במפורש בהוראות אלה. ספקים אלה מחזיקים בנתוני מנויים ובנתונים טכניים, שלעתים קרובות הם חיוניים לזיהוי חשודים בחקירות פשעי סייבר.

ספקים שאינם מהאיחוד האירופי המציעים שירותים באיחוד האירופי

לתקנה יש תחולה חוץ-טריטוריאלית. כל ספק שירות המציע שירותים למשתמשים בתוך האיחוד האירופי נכלל בהיקף תחולתה, ללא תלות במיקום המטה של הספק או במקום שבו מאוחסנים הנתונים פיזית. על ספקים שאינם מהאיחוד האירופי למנות נציגות או נציג משפטי בתוך האיחוד האירופי כדי לקבל ולעבד הזמנות — דרישה שמבוססת על חובת הייצוג של ה-GDPR. אי-מינוי נציג אינו פוטר את הספק מחובות התקנה; זה פשוט אומר שהזמנות עשויות להיות מועברות בערוצים חלופיים, והספק נשאר אחראי לאי-עמידה.

עונשים בגין אי-עמידה בדרישות

תקנת הראיות האלקטרוניות קובעת מסגרת ענישה מדורגת שמדינות החברות חייבות לאמץ בחוקיהן הלאומיים. בגין אי-עמידה בצו מסירה בתוך המועד הקבוע, או בגין אי-שימור נתונים כנדרש בצו שימור, ספקים צפויים לקנסות של עד 500,000 אירו לכל הפרה. עבור ספקי שירות גדולים — אלה שהמחזור השנתי הגלובלי שלהם עולה על 25 מיליון אירו — העונש המרבי עולה ל-2% מהמחזור השנתי העולמי, לפי הגבוה מבין השניים. מבנה עונשים זה משקף את הגישה של ה-GDPR, והוא נועד להבטיח כי אי-עמידה תהיה בעלת השלכות כלכליות משמעותיות אפילו עבור חברות הטכנולוגיה הגלובליות הגדולות ביותר.

מעבר לקנסות כספיים ישירים, אי-עמידה בדרישות כרוכה בסיכונים משמעותיים הן למוניטין והן לפעילות התפעולית. רשויות שיפוטיות עשויות להחמיר את האכיפה באמצעות מערכת המשפט של המדינה האוכפת, ואי-עמידה מתמשכת עלולה להוביל להגבלות על יכולתו של הספק לפעול בתוך האיחוד האירופי. עבור ספקים שכבר כפופים לחובות חוקיות בנוגע ליירוט שיחות ושמירת נתונים, אי-עמידה בדרישות בנושא ראיות אלקטרוניות עלולה גם להוביל לבחינה מדוקדקת של עמדתם הרגולטורית הכללית.

ראיות אלקטרוניות לעומת יירוט חוקי לעומת שמירת נתונים

ראיות אלקטרוניות, יירוט חוקי ושמירת נתונים הם שלושה תחומים נפרדים אך קשורים זה לזה באופן הדוק במסגרת התחום הרחב יותר של ציות לתקנות בתחום התקשורת. הבנת ההבדלים — והחפיפות — חיונית לבניית תשתית ציות יעילה ומשולבת.

יירוט חוקי הוא תפיסה והעברה בזמן אמת של תוכן תקשורת ומטא-נתונים של יעד ספציפי, על סמך צו או הוראה שיפוטית. התהליך פועל ברציפות למשך תקופת ההרשאה ומעביר נתונים לרשויות אכיפת החוק כמעט בזמן אמת. התקנים הטכניים המסדירים את היירוט החוקי — בעיקר משפחת התקנים ETSI TS 102 232 — מגדירים כיצד מעוצבים הנתונים שיורטו, מוצפנים ומועברים למתקן הניטור.

שמירת נתונים היא אחסון חובה של מטא-נתוני תקשורת (מי תקשר עם מי, מתי, כמה זמן ומאיפה) לתקופה מוגדרת, בדרך כלל בין שישה ל-12 חודשים, בהתאם לחוק הלאומי. הנתונים השמורים אינם מועברים בזמן אמת; במקום זאת, הם מאוחסנים על ידי הספק ונמסרים לרשויות אכיפת החוק על פי בקשה באמצעות ממשקים סטנדרטיים כגון ETSI TS 102 657.

ה-e-Evidence פועל ברמה אחרת. במקום לחייב מעקב בזמן אמת או אחסון גורף של מטא-נתונים, הוא יוצר מנגנון לחשיפת נתונים מאוחסנים לפי דרישה — רשומות מנויים, יומני גישה, מטא-נתוני עסקאות ותכנים — באמצעות צווי גילוי ושימור חוצי גבולות. סוגי הנתונים עשויים לחפוף לאלה הנאספים באמצעות מערכות יירוט חוקי ושמירת נתונים, אך הכלים המשפטיים, תהליך העבודה, המועדים ומנגנוני המסירה שונים בתכלית.

מבחינת ספקי השירותים, המשמעות המעשית היא שלא ניתן פשוט להוסיף את דרישות הציות לתקנות הראיות האלקטרוניות (e-Evidence) למערכת קיימת של יירוט חוקי או שמירת נתונים. הדבר מצריך תהליכי עבודה ייעודיים לניהול צווים, אימות, חילוץ ומסירה, התואמים לדרישות הספציפיות של התקנה ולממשקים הטכניים המוגדרים בתקן ETSI TS 104 144. עם זאת, לספקים שכבר השקיעו בתשתית LI ושמירת נתונים התואמת ל-ETSI יש יתרון משמעותי, שכן עקרונות הארכיטקטורה ומנגנוני האבטחה עקביים בכל שלושת התחומים.

הכנה לעמידה בדרישות בתחום הראיות האלקטרוניות: צעדים מרכזיים

עם התקרבות מועד כניסתה לתוקף של התקנה, ב-18 באוגוסט 2026, ספקי השירותים שטרם החלו ביישום תוכניות הציות שלהם ניצבים בפני לוח זמנים דחוף. התחומים הבאים דורשים טיפול מיידי.

ראשית, על הספקים לקבוע האם הם נכללים בהיקף התקנה. ההגדרה הרחבה של "ספקי שירותים מכוסים" בתקנה פירושה שחברות רבות — ובפרט פלטפורמות ענן, ספקי אחסון ואתרי מסחר מקוונים — עלולות שלא להיות מודעות לכך שהן נכללות בהיקף התקנה עד שתתחיל אכיפתה. הערכה מעמיקה של היקף היישום צריכה להוות את נקודת המוצא לכל תוכנית ציות.

שנית, על כל ספק הנכלל בהיקף התקנות למנות גורם קשר רשמי באיחוד האירופי. עבור ספקים שמקום מושבם באיחוד האירופי, ייתכן שמדובר בתפקיד משפטי או בתפקיד בתחום הציות הקיים כבר. עבור ספקים שאינם מהאיחוד האירופי, נדרש למנות סניף ייעודי או נציג משפטי. יש לרשום ישות זו אצל הרשות הלאומית הרלוונטית — בגרמניה, ה-Bundesamt für Justiz — והיא חייבת להיות בעלת יכולת תפעולית לקבל ולעבד בקשות בכל שעות היממה, לאור מועד היעד של שמונה שעות במקרי חירום.

שלישית, על הספקים להטמיע את התשתית הטכנית הדרושה לקבלת צווי גילוי ושימור, אימותם, ביצועם ומתן מענה עליהם בתוך המועדים הקבועים בתקנה. זה כולל שילוב עם פלטפורמת התקשורת e-CODEX, יישום הממשקים המוגדרים ב-ETSI TS 104 144, ופיתוח תהליכי עבודה פנימיים לניהול צווים, חילוץ נתונים ומסירה מאובטחת. ספקים שכבר מפעילים מערכות יירוט חוקיות התואמות ל-ETSI יכולים לנצל את הארכיטקטורה הקיימת שלהם; אלה שאין להם תשתית כזו עומדים בפני מאמץ יישום משמעותי יותר.

רביעית, על הספקים להקים מבני ממשל פנימיים, הכוללים נהלי העברה ברורים להחלטות דחופות, תהליכי בדיקה משפטית להחלטות שעשויות להצריך התנגדות, תיעוד ביקורת של כל פעולה שנעשית והכשרת צוות, כדי להבטיח שכל אנשי הצוות המעורבים בתהליך הטיפול בראיות אלקטרוניות יבינו את תחומי האחריות שלהם ואת המועדים הרלוונטיים.

פלטפורמת הציות לרגולציה בתחום הראיות האלקטרוניות של ICS מבצעת אוטומציה של מחזור החיים המלא של צווי הפקה ושימור אירופיים — החל מקליטה מאובטחת באמצעות תשתית e-CODEX, דרך אימות משפטי וחילוץ נתונים, ועד למסירה מוצפנת לרשות המבקשת. הפלטפורמה משתלבת בצורה חלקה עם מערכת ניהול היירוט החוקי (LIMS) של ICS ועם פתרונות שמירת הנתונים, ומאפשרת לספקים לנהל את שלושת תחומי הציות מתוך ממשק יחיד ומאוחד.

ICS מספקת גם תמיכה בהקמת נציגות ייעודית עבור ספקים שאינם חברי האיחוד האירופי, הזקוקים למינוי נציג משפטי בגרמניה; שירותי ייעוץ בנושא פרשנות רגולטורית ותכנון תוכניות ציות; וכן שירותי ניהול תפעולי עבור ספקים המעדיפים להאציל את הטיפול השוטף בצווי ראיות אלקטרוניות לשותף מומחה.

הפתרונות שלנו מבוססים על ארכיטקטורות התואמות ל-ETSI התומכות בתקנים TS 104 144, TS 102 232, TS 102 657 ו-TS 103 707, והם מוסמכים על ידי הסוכנות הפדרלית הגרמנית לתקשורת (Bundesnetzagentur). בין אם אתם מפעילים רשת תקשורת, פלטפורמת ענן, אפליקציית מסרים או זירת מסחר מקוונת, ICS מספקת את הטכנולוגיה, המומחיות והתמיכה התפעולית כדי להבטיח שתעמדו בחובותיכם בתחום הראיות האלקטרוניות — במועד ובצורה הניתנת לביקורת מלאה.