Закон про кібербезпеку створює національну систему кібербезпеки, визначаючи її як "сукупність політичних, соціальних, економічних та інформаційних відносин поряд з організаційно-адміністративними і техніко-технологічними заходами шляхом комплексного підходу в тісній взаємодії державного і приватного секторів та громадянського суспільства". Відтепер в Україні на законодавчому рівні визначається низка понять, серед яких: кібербезпека, кібератака, кіберзагрози, кібершпигунство, кібертероризм тощо.

Читайте також: 33 поради з кібербезпеки, що захистять ваші пристрої, інформацію, гроші і нерви

"Експерти в сфері кібербезпеки більшості провідних країн світу відзначають стійку тенденцію до значного зростання кількості та розширення спектру кібератак з метою порушення конфіденційності, цілісності та доступності державних інформаційних ресурсів, в тому числі на об'єктах критичної інформаційної інфраструктури", – йдеться в пояснювальній записці до документу. Тож для протистояння таким загрозам і прийнято закон.

На кого поширюється закон

Об'єктами кібербезпеки в документі названі конституційні права, суспільство, розвиток інформсуспільства, держава, національні інтереси та об'єкти критичної інфраструктури.

Водночас об'єктами кіберзахисту вказані комунікаційні системи і об'єкти критичної інфраструктури. При цьому порядок формування переліку об'єктів критичної інфраструктури має бути затверджений Кабінетом Міністрів.

Законом передбачено, що до об'єктів критичної інфраструктури можуть бути віднесені підприємства й установи, які: ведуть діяльність і надають послуги в галузях хімічної промисловості, енергетики, транспорту, ІКТ, банківському та фінансовому секторі, електронних комунікацій; надають послуги у сфері життєзабезпечення населення; є комунальними, аварійними і рятувальними службами; включені до переліку підприємств, що мають стратегічне значення для економіки.

Читайте також: Эксперт: Сомнительно, что искусственный интеллект уничтожит человечество

Закон також вводить поняття Національної системи кібербезпеки, яка є сукупністю суб'єктів забезпечення кібербезпеки і взаємопов'язаних заходів різного характеру.

На кого не поширюється дія закону

На відносини та послуги, пов’язані зі змістом інформації, що обробляється в комунікаційних або в технологічних системах. На соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів. На комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій, не підключені до мережі Інтернет чи інших глобальних мереж передачі даних (крім технологічних систем).

Суб'єкти кібербезпеки

Основними суб’єктами національної системи кібербезпеки є Державна служба спеціального зв'язку та захисту інформації України, Національна поліція України, Служба безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України, розвідувальні органи, Національний банк України.

Крім цього, документ визначає поняття державно-приватної взаємодії у сфері кібербезпеки, яка здійснюється, зокрема, шляхом: створення системи своєчасного виявлення і нейтралізації кіберзагроз; підвищення цифрової грамотності громадян; обміну інформацією між державними органами і приватним сектором; партнерства і координації команд реагування на комп'ютерні ПП; залучення експертного потенціалу; впровадження механізму громадського контролю ефективності заходів кібербезпеки; створення системи підготовки спецкадрів і т.д.

Відповідальність

Особи, винні в порушенні законодавства у сфері нацбезпеки, електронних комунікацій і захисту інформації, якщо кіберпростір є місцем або способом злочину, несуть відповідальність відповідно до цивільного, адміністративного і кримінального законодавства.

Термін початку дії

Зазначений закон вступить в силу через шість місяців з дня його опублікування. При цьому Кабмін має в тримісячний термін з дати опублікування закону забезпечити прийняття нормативно-правових актів, необхідних для його реалізації.

Експерти про закон

Дмитро Снопченко, фахівець з інтернет-безпеки

Закон досить узагальнений і до якихось безпосередніх дій не приведе. А ось закони і постанови, які будуть на його основі зроблені і реалізовані, мають бути більш конкретні.

З найцікавішого — до кіберзахисту залучили міністерство оборони, крім ДСТСЗІ і СБУ, які займалися цим раніше.

Внесли поняття про відповідальність не тільки за кіберзлочини, а й за неякісний захист власників інформації цієї самої інформації, яку вони зобов'язані будуть захищати. В основному це буде стосуватися держорганів, і сподіваюся, що вони будуть з більшою увагою ставитися до кіберзахисту і не тримати свої поштові скриньки на російських серверах – як мінімум. Приватного сектору це теж буде стосуватися, якщо та чи інша компанія оперує персональними даними користувача або державною інформацією.

Закон передбачає участь України в міжнародних і європейських системах забезпечення кібербезпеки, що дозволить поліпшити комунікації з багатьма фахівцями і підняти рівень знань наших фахівців.

Згадано в законі про освіту не тільки в вишах для фахівців, а й для суспільства, для підняття загальної освіченості населення в питаннях кіберзахисту, тому прості користувачі теж стануть більш захищеними.

Так само вивели в окремий термін "контент-провайдер", тепер відповідальність будуть нести не тільки компанії, які просто надають інтернет-канали, інтернет-провайдери, але і компанії, які генерують і поширюють інформацію по цих каналах.

Кібербезпека – досить дорогий захід, і попри те, що закон передбачає оплату з держбюджету, в якому обсязі і як регулярно це буде – невідомо.

Загалом, закон можна вважати першим заставним каменем в загальній політиці України в напрямку кібербезпеки. Подальший її розвиток залежить тільки від кропіткої роботи фахівців, які впроваджують системи на місцях. У найближчі півроку-рік будуть розроблятися документи, що описують, як це реалізувати конкретно, виділятимуться бюджети тощо, але початок покладено.

Вадим Гудима, експерт Лабораторії цифрової безпеки

Закон "Про основні засади забезпечення кібербезпеки України" є головним чином рамковим документом, він юридично визначає ключові поняття у сфері кібербезпеки і робить спробу, відверто кажучи, невдалу, розподілити сфери відповідальності державних органів у сфері захисту інформації. Частина законопроекту просто переказує ключові положення Стратегії кібербезпеки і не містить чогось нового. Тому якихось швидких чи суттєвих змін від цього закону очікувати не варто.

Якщо вірити стенограмі засідання Ради небезпечну для доступу до публічної інформації поправку Лук'янчука щодо віднесення "технологічної інформації" до інформації з обмеженим доступом, було провалено, що є безумовним позитивом. Утім, слід дочекатись публікації остаточного тексту законопроекту, адже від моменту ухвалення тексту закону до його публікації можуть ставатись різні неприємні "несподіванки".

Однак залишилась невирішеною проблема систематичних обшуків та необґрунтованих вилучень обладнання у IT-компаніях.

Важливо слідкувати за іншими законопроектами у сфері захисту інформації та кібербезпеки, що вже подані, або готуються до подання в Раду – там містяться суттєві ризики обмеження свободи Інтернету, наприклад, блокування вебсайтів без санкції суду, чи вимога до Інтернет-провайдерів зберігати трафік користувачів, використовуючи "ліцензоване" обладнання, що, окрім проблем з приватністю, є ще й величезним корупційним ризиком.

Опубліковано в рамках спецпроекту "Вільний Інтернет" від редакції сайту 24 та ГО "Інтерньюз-Україна", в рамках проекту "Інтернет-Свобода" на кошти уряду Королівства Нідерланди.