בפברואר 2023 החל משרד מבקר המדינה לבדוק את נושא היערכות המדינה להתמודדות עם אירועי סייבר. לאחר פרוץ המלחמה ועד אוגוסט 2024 הרחיב המשרד את הבדיקה וכלל בה את בחינת תפקודה במהלך מלחמת חרבות ברזל. בדיקות השלמה נעשו בחלק מהנושאים בתקופה שבין נובמבר 2024 ועד יוני 2025. דוח זה כולל שלושה חלקים: חלקו הראשון של הדוח עוסק ברמת ההגנה והחוסן של המשק (עד כמה המגזרים במשק הישראלי ערוכים למנוע ולזהות מתקפות סייבר משמעותיות ולהגיב להן) כפי שהוצגה על ידי מערך הסייבר והשב"כ, כל אחד בתחום אחריותו, ואופן שיקופה לדרג המדיני לפני המלחמה ובמהלכה. חלקו השני עוסק בפעולות שנקטו הגופים האסדרתיים המדינתיים קודם המלחמה ובמהלכה כדי להעלות את החוסן של הגופים במשק. וחלקו השלישי של הדוח בוחן את ההיערכות של 21 גופים בעלי חשיבות במשק (21 הגופים שנבדקו בשאלון או 21 הגופים בעלי חשיבות במשק) בהם: גופים רגישים המונחים על ידי מערך הסייבר, משרדי ממשלה, גופים חיוניים, מוסדות להשכלה גבוהה, רשויות מקומיות וגופים מיוחדים שפועלים בהנחיה עצמית בתחום הסייבר, להתמודדות עם אירועי סייבר לפני המלחמה ובמהלכה.
הביקורת נעשתה בגופים הבאים, חלקם גופים אסדרתיים מדינתיים בתחום הסייבר: משרד ראש הממשלה (רה"ם) - במערך הסייבר; במל"ל; בשב"כ; במשרד הביטחון - ברח"ל; במשרד המשפטים - ברשות להגנת הפרטיות; במשרד הכלכלה והתעשייה - במערך הדיגיטל (ביה"ב); במשרד האוצר - במינהל הרכש הממשלתי, באגף השכר והסכמי העבודה ובאגף התקציבים; בנציבות שירות המדינה (נש"מ); ב-21 גופים בעלי חשיבות במשק שנבדקו בשאלון; בשבע יחידות סייבר מגזריות ובגופים נוספים.
במסגרת הביקורת הפיץ משרד מבקר המדינה שאלון בקרב 21 גופים ממגזרים שונים שהם בעלי חשיבות לרציפות התקינה של תפקוד המשק. בחירת הגופים נועדה לספק תמונה שתאפשר לבחון באופן רוחבי כיצד גופים ממגזרים ותחומים שונים במשק נערכו להתמודדות עם אירוע סייבר לפני מלחמת חרבות ברזל, ואת מידת המוכנות שלהם בהתאם לתקנות, להנחיות ולמתודולוגיות מקובלות בארץ ובעולם (כגון תקני NIST ו-ISO27001) ובראשם תורת ההגנה 2.0 של מערך הסייבר. יצוין כי תמונת הרוחב אינה מבוססת על מדגם כמותי מייצג וכי בניתוח המענה לשאלון לא הובאו בחשבון בקרות מפצות שאותן מיישמים הגופים כמענה לפער מסוים מטעמים מתודולוגיים שתכליתם להבטיח הערכה אחידה למול כל הגופים. בכך ניתן היה להבטיח בדיקה אחודה לכלל הגופים המאפשרת להשוות בין הגופים ביחס להיבטים שנבדקו.
כל הגופים ענו על השאלון ובדיקתו כללה גם בדיקת מסמכים תומכים שהגופים התבקשו לצרף כתימוכין לתשובותיהם, ופגישות פרטניות שהתקיימו עם 11 מהגופים בהן נבדק המענה לעומק. בנוסף, כחודשיים לאחר פרוץ המלחמה נשלח לגופים אלו שאלון השלמה כדי לבחון אם חל שינוי במצבם בעקבות המלחמה, אם הותקפו, אם קיבלו הנחיות מיוחדות בתחום זה מהגופים האסדרתיים המדינתיים וכדי לקבל נתוני ניטור (SIEM) לצורך ניתוחם. כמו כן צוות הביקורת קיים מפגשי עומק עם יחידות הסייבר המגזריות (למעט אחת מיחידות הסייבר המגזריות), על בסיס שאלון אחר שהן התבקשו למלא טרם המפגש וקיבל נתוני ניטור (SIEM) של גופי המגזר ככל שהיו כאלה.
בתשובת מערך הסייבר מינואר 2026 צוין כי קיים צורך משמעותי בשיפור רמת הגנת הסייבר הלאומית והוא מברך על כל מאמץ לשיפור הנושא, אולם לעמדתו המקצועית קיים קושי באופן שבו בוצעה הבחינה, באופן הצגת הפערים ובאופן ניתוח השלכותיהם בדוח בהתייחס ל-21 הגופים שנבדקו בשאלון, תוך חשש להצגת תמונה כוללת שאינה מדויקת. זאת בין היתר, נוכח העובדה כי 21 הגופים האמורים לא מהווים מדגם מייצג; נוכח השונות המשמעותית הקיימת הן בפעילותם והן באסדרה המחייבת אותם; נוכח יצירת מדד עצמאי ותכלול הפערים שנמצאו ובחינת השפעתם על רמת ההגנה של הגופים, וזאת ללא ביצוע האבחנה הרגולטורית הנדרשת; ונוכח הצורך המקצועי לתכלל ולתת משקל מהותי לבקרות מפצות הננקטות ביחס לפערים משמעותיים, לצורך קבלת תמונת המצב המלאה הנדרשת.
משרד מבקר המדינה לא מקבל את טענת מערך הסייבר מאחר שתמונת המצב הרוחבית שהתקבלה מבוססת על גופים שונים ממגזרים שונים במשק, מבוססת על מתודולוגיות מקובלות ומציין כי מערך הסייבר עצמו השתמש בתקן NIST כמתודולוגיית בדיקה של רמת ההגנה של גופים במשק וכי גם בסקר שביצע מערך הסייבר בשנת 2023 בקרב מאות גופים חיוניים במשק לא ניתן ביטוי לבקרות מפצות כאמור מטעמים מתודולוגיים שתכליתם להבטיח הערכה אחידה למול כל הגופים לא ניתן ביטוי לבקרות מפצות שכן הן מייצגות מעטפת הגנה חלופית ולא אחודה, להיעדר מענה מלא לעמידה בנורמות המקובלות שנבדקו. לדעת משרד מבקר המדינה ראוי להתייחס לתוצאות הבחינה הרוחבית שבוצעה כאל אבן בוחן להערכה כללית ומערכתית של ההיערכות של גופים שונים להתמודדות עם אירועי סייבר ולא כאל בחינה שתכליתה לעמוד על ציות של גופים לנורמות והוראות מחייבות, שכן ביסודה של בחינה זו מונחים כאמור גם תקנים מומלצים לחיזוק ההיערכות לאירועי סייבר. הרחבה בנושא השאלון, הגופים שנבדקו והתייחסות מערך הסייבר מובאת בפרק "ההיערכות והמוכנות של 21 גופים בעלי חשיבות במשק ושל גופים אסדרתיים מדינתיים להתמודדות עם אירועי סייבר לפני המלחמה ובמהלכה".
ועדת המשנה של הוועדה לענייני ביקורת המדינה של הכנסת החליטה שלא להניח דוח זה במלואו על שולחן הכנסת אלא לפרסם רק חלקים ממנו, לשם שמירה על ביטחון המדינה, בהתאם לסעיף 17 לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב].