Верховная Рада приняла сегодня Закон о кибербезопасности Украины. Он принят во втором чтении с поправками.
Верховная Рада приняла в повторном втором чтении и в целом законопроект № 2126а об основных принципах обеспечения кибербезопасности Украины. "За" проголосовали 257 народных депутатов.
Онлайн-трансляцию вел официальный канал "Рада".
С помощью документа в законодательство ввели ряд понятий: кибератака, кибербезопасность, индикаторы киберугроз, критически важные объекты инфраструктуры и прочее.
Отдельная статья посвящена тому, что кибербезопасность не должна означать "притеснения в сети". Так, законопроект не распространяется на данные, которые передают в коммуникационных или технологических системах, а также соцсетях, блог-платформах, видеохостингах и прочее.
Новости по теме: В Конгрессе США представлен документ об усилении кибербезопасности Украины, - посольство
Объекты киберзащиты - коммуникационные системы, кому бы они не принадлежали, в которых обрабатываются национальные информационные ресурсы и/или те, которые используют в интересах органов госвласти, правоохранителей и военных.
Существует также перечень объектов критической инфраструктуры - предприятия в отраслях энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторе и прочее (независимо от формы собственности).
При этом Кабмин формирует условия внесения в перечень объектов критической инфраструктуры
1. Обґрунтування необхідності прийняття акта
За оцінками експертів у сфері кібербезпеки переважної більшості провідних країн світу, відмічається стійка тенденція до значного зростання кількості та розширення спектру кібератак з метою порушення конфіденційності, цілісності і доступності інформаційних ресурсів, штатного режиму функціонування інформаційно-телекомунікаційних систем, зокрема тих, що циркулюють на критично важливих об’єктах інфраструктури країни.
На сьогодні реальні прояви кібератак малопрогнозовані, а їх результатом є, зазвичай, значні фінансово-економічні збитки або непередбачувані наслідки порушень функціонування інформаційно-телекомунікаційних систем, які безпосередньо впливають на стан національної безпеки і оборони. У зв’язку із цим існуючі загрози вимагають впровадження комплексних заходів, спрямованих на забезпечення кібербезпеки.
Питання забезпечення кібербезпеки є надзвичайно актуальними і для України. Однак, у нашій державі заходи з протидії викликам і загрозам у зазначеній сфері знаходяться на початковому етапі та не мають комплексного характеру.
Відповідно до завдання, передбаченого абзацом п’ятим підпункту 2 пункту 1 рішення Ради національної безпеки i оборони України від 28 квітня 2014 року «Про заходи щодо вдосконалення формування та реалізації державної політики у сфері інформаційної безпеки України», уведеного в дію Указом Президента України від 01.05.2014 № 449, Кабінету Міністрів України було доручено розробити і внести на розгляд Верховної Ради України проект Закону України про кібербезпеку України.
З метою виконання цього завдання та згідно з пунктом 7 доручення Прем’єр-міністра України Яценюка А.П. від 15.05.2014 № 16575/2/1-14 Адміністрацією Державної служби спеціального зв’язку та захисту інформації України було розроблено проект Закону України «Про основні засади забезпечення кібербезпеки України». Наприкінці березня – початку квітня 2015 року законопроект був також розглянутий за участі міжнародних експертів (США, Канади, Європейського союзу). Вони надали свої пропозиції, які були враховані при доопрацюванні остаточного варіанту проекту.
19 червня 2015 року законопроект «Про основні засади забезпечення кібербезпеки України» був зареєстрований під № 2126а (автори – народні депутати України Лук'янчук Р.В., Кожем'якін А.А., Бухарєв В.В., Паламарчук М.П., Король В.М., Семенуха Р.С., Поляков М.А., Бабенко В.Б. та Сочка О.О.).
15 липня 2015 року Комітет Верховної Ради України з питань інформатизації та зв’язку схвалив рішення про утворення Робочої групи з опрацювання законопроекту. 7 жовтня 2015 року Комітет доручив Робочій групі доопрацювати законопроект з урахуванням висновку Кабінету Міністрів України, пропозицій та зауважень центральних органів виконавчої влади, галузевих підприємств та організацій, суб’єктів громадянського суспільства з подальшим внесенням до Верховної Ради України доопрацьованої редакції законопроекту з одночасним відкликанням проекту закону в редакції від 19 червня 2015 року.
У зв’язку із введенням в дію Стратегії національної безпеки України, затвердженої Указом Президента України від 15.03.2016 № 96 «Про рішення Ради національної безпеки і оборони України від 27 січня 2016 року «Про Стратегію кібербезпеки України» (далі – Стратегія), законопроект № 2126а втратив свою актуальність і був відкликаний. Натомість розроблено новий проект Закону України «Про основні засади забезпечення кібербезпеки України» (далі – проект Закону), який у повній мірі відповідає принципам та положенням Стратегії.
Одними з пріоритетів Стратегія визначає створення вітчизняної нормативно-правової та термінологічної бази у сфері кібербезпеки (абзац третій пункту 4.1 Стратегії) та комплексне вдосконалення правової основи кіберзахисту об'єктів критичної інфраструктури (абзац другий пункту 4.3 Стратегії). Саме на це і були спрямовані основні зусилля під час доопрацювання законопроекту.
Серед інших основних змін є наступні:
а) проект Закону узгоджено із принципами, пріоритетами та напрямами Стратегії;
б) у проекті Закону враховано ряд пропозиції експертів НАТО та ЄС, зокрема:
- виключено поняття «національний сегмент кіберпростору» та всі пов’язані з цим положення;
- зроблено акцент на суспільній складовій, приватно-державному партнерстві як базових вимогах забезпечення кібербезпеки – йдеться про спільну роботу всіх, а не тільки держави, її правоохоронних органів та Воєнної організації (на відміну від положень частини другої статті 4 та статті 8 редакції від 19.06.2015 року);
- структуровані положення щодо національної системи кібербезпеки, напрямів її роботи та принципів координації і взаємодії;
в) доопрацьовано терміни, визначення та пов’язані з ними положення проекту Закону, зокрема:
- уточнено зміст понять «кібербезпека» і «кіберзахист» та, відповідно, розмежовані об’єкти кібербезпеки/кіберзахисту (кіберзахист – заходи, пов’язані та спрямовані на безпеку систем та інформаційних ресурсів; кібербезпека – більш широке поняття, яке включає дії та заходи, пов’язані з безпекою осіб та суспільних відносин, зокрема заходи правоохоронного, розвідувального, контррозвідувального, оперативно-розшукового, а також політичного, інформаційного, суспільно-просвітницького характеру та безпосередні заходи кіберзахисту);
- доопрацьовано зміст поняття «критично важливі об’єкти інфраструктури», у тому числі, визначено основні критерії можливого віднесення підприємств, установ та організацій, незалежно від форми власності, до Переліку таких об’єктів;
- введене поняття національних електронних інформаційних ресурсів, що пов’язано з необхідністю кіберзахисту масиву інформації, безпека обігу (цілісність, доступність) якої також має забезпечуватися (бібліотечні, навчальні фонди, інші масиви важливої суспільної, історичної, іншої інформації, яка не підпадає під поняття «державні інформаційні ресурси та інформація, необхідність захисту якої встановлена законом»);
г) вводяться механізми застосування кращих європейських та світових практик і стандартів в частині розроблення та прийняття галузевих стандартів кіберзахисту критично важливих об’єктів інфраструктури (більшість об’єктів - приватної власності) та запровадження системи аудиту інформаційної безпеки таких об’єктів;
д) виключено ряд систем, на які дія Закону не поширюється, зокрема, це державна таємниця (інші вимоги), системи, які не підключені до Інтернет (крім технологічних систем критичних об’єктів), соціальні мережі та приватні веб-ресурси; також визначено, що Закон не пов’язаний зі змістом інформації (тут і в інших положеннях законопроекту максимально врахована думка i стурбованість суб’єктів громадянського суспільства);
е) текст більш структурований, доопрацьовані статті 9-14 (10-15 чинної редакції), усунуто окремі дублювання;
є) у Прикінцевих положеннях йдеться про внесення змін тільки до Закону України «Про основи національної безпеки».
Прийняття законодавчого акта щодо кібербезпеки дозволить визначити правові та організаційні основи забезпечення захисту життєво важливих інтересів людини і громадянина, суспільства та держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки України, повноваження і обов’язки державних органів, підприємств, установ, організацій, осіб та громадян у цій сфері, основні засади координації їх діяльності із забезпечення кібербезпеки України, а також визначити базові терміни у сфері кібербезпеки.
2. Мета і шляхи її досягнення
Метою проекту Закону є створення національної системи кібербезпеки як сукупності політичних, соціальних, економічних та інформаційних відносин разом із організаційно-адміністративними та техніко-технологічними заходами шляхом комплексного підходу у тісній взаємодії державного і приватного секторів та громадянського суспільства.
3. Правові аспекти
Правову основу забезпечення кібербезпеки України становлять Конституція України, Закон України "Про основи національної безпеки України", Кримінальний кодекс України, Кодекс України про адміністративні правопорушення, закони України щодо засад внутрішньої та зовнішньої політики, електронних комунікацій, захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, міжнародні договори, згода на обов'язковість яких надана Верховною Радою України, а також видані на виконання законів інші нормативно-правові акти України.
4. Фінансово-економічне обґрунтування
Реалізація проекту Закону не потребує додаткового фінансування з Державного бюджету України.
5. Регіональний аспект
Проект Закону не стосується питання розвитку адміністративно-територіальних одиниць.
6. Запобігання дискримінації
Проект Закону не містить положень, які мають ознаки дискримінації. Громадська антидискримінаційна експертиза не проводилась.
7. Запобігання корупції
У проекті Закону немає правил і процедур, що можуть містити ризики вчинення корупційних правопорушень.
8. Громадське обговорення
Зауваження та пропозиції представників громадськості частково враховані.
9. Позиція соціальних партнерів
Проект Закону не стосується соціально-трудової сфери.
10. Оцінка регуляторного впливу
Відповідно до Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» проект Закону не є регуляторним актом.
10-1. Вплив реалізації акта на ринок праці
Реалізація проекту Закону на ринок праці не впливає.
11. Прогноз результатів
Реалізація проекту Закону дозволить впровадити комплексний підхід під егідою держави і у тісному співробітництві з приватним сектором та громадянським суспільством щодо визначення основних засад формування державної політики у сфері кібербезпеки та створити умови для забезпечення кіберзахисту критично важливих інфраструктурних об’єктів України.