Верховна Рада України внесла зміни до законів України щодо захисту державних інформаційних ресурсів та об'єктів критичної інфраструктури від кіберзагроз :: Коментарі до нормативних документів і роз'яснень

Верховна Рада України внесла зміни до законів України щодо захисту державних інформаційних ресурсів та об'єктів критичної інфраструктури від кіберзагроз

Документ

Закон України від 27.03.2025 р. № 4336-IX «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури»

Коментар

Верховна Рада України Законом України від 27.03.2025 р. № 4336-IX (Закон № 4336) внесла зміни до низки законів України, спрямовані на нормативне забезпечення захищеності від кібератак інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом категорій «службова інформація» та «державна таємниця», об'єктів критичної інформаційної інфраструктури, на створення належної правової основи для здійснення заходів для ідентифікації та виявлення ризиків, обізнаності щодо ризиків та кіберзагроз, побудови системи реагування, удосконалення побудови систем безпеки ІКС, що має на меті загальне посилення спроможностей національної системи кібербезпеки.

Зокрема, зміни внесено до законів України від 05.07.94 р. № 80/94-ВР «Про захист інформації в інформаційно-комунікаційних системах» (Закон про захист інформації), від 23.02.2006 р. № 3475-IV «Про Державну службу спеціального зв’язку та захисту інформації України» (Закон про Держспецзв’язок), від 05.06.2014 р. № 1315-VII «Про стандартизацію» (Закон про стандартизацію), від 05.10.2017 р. № 2163-VIII «Про основні засади забезпечення кібербезпеки України» (Закон про забезпечення кібербезпеки), від 18.11.2021 р. № 1907-IX «Про публічні електронні реєстри» (Закон про електронні реєстри).

Змінами до Закону про захист інформації, зокрема, викладено в новій редакції низку термінів, а саме: виток інформації; захист інформації в системі; обробка інформації в системі (відповідні зміни внесено до ст.1 Закону про захист інформації). До того ж зазначену норму Закону доповнено новими термінами – авторизація з безпеки; авторизована система з безпеки; комплекс технічного захисту інформації; пристрої обробки інформації; перелік авторизованих систем з безпеки; технічний канал витоку інформації.

Також в новій редакції викладено ст.8 Закону про захист інформації щодо умов обробки інформації в системі.

Крім того, зміни внесено до ст.9, 10 та 13 Закону про захист інформації. Зокрема, новими нормами ст.10 цього Закону, встановлено, що органи державної влади, державні органи, органи місцевого самоврядування в межах своїх повноважень у відповідній сфері або галузі розробляють та за погодженням із Державною службою спеціального зв'язку та захисту інформації України (Держспецзв’язку України) затверджують цільові та галузеві профілі безпеки.

Змінами до Закону про Держспецзв’язок викладено в новій редакції низку термінів та додано визначення нових термінів (ст.1), розширено перелік основних завдань (ст.3), обов’язків (ст.14) та прав (ст.15) Держспецзв’язку України.

Зміни та доповнення внесено також до частини другої ст.2 Закону про стандартизацію, відповідно до яких дія цього Закону не поширюється, зокрема, на стандарти криптографічного та технічного захисту інформації, кіберзахисту, протидії технічним розвідкам.

Центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сфері розвитку національних електронних інформаційних ресурсів та інтероперабельності, зокрема, організаційно забезпечує створення, модернізацію, модифікацію, розвиток програмного забезпечення Державної електронної платформи ведення публічних електронних реєстрів (далі – Платформа), здійснення заходів, необхідних для його адміністрування та забезпечення функціонування, можливість використання програмного забезпечення Платформи для створення, ведення та адміністрування реєстрів у порядку, встановленому КМУ (частині першу ст.11 Закону про електронні реєстри доповнено п.6¹).

Закон про забезпечення кібербезпеки також доповнено новими нормами, серед яких виокремимо ст.5¹ щодо створення підрозділів з кіберзахисту та призначення керівників з кіберзахисту, яким безпосередньо підпорядковуються такі підрозділи в органах державної влади, що є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю. В органах місцевого самоврядування призначаються особи, які виконують функції та завдання таких підрозділів.

Власники або розпорядники об’єктів критичної інформаційної інфраструктури призначають відповідальну особу, яка виконує функції та завдання керівника з кіберзахисту, та у разі потреби з метою забезпечення виконання вимог з кіберзахисту утворюють підрозділ з кіберзахисту.

Також до Закону про забезпечення кібербезпеки внесено низку змін і доповнень щодо визначення термінів, задач державних органів стосовно забезпечення захисту від загроз в царині кібербезпеки, створення Національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, положень, які забезпечують імплементацію норм європейських директив з кібербезпеки до національного законодавства стосовно функцій команд реагування, практики повідомлень про кіберінциденти, управління ризиками.

Закон № 4336 набрав чинності з дня, наступного за днем його офіційного опублікування – 20 квітня 2025 р., крім пп.5 п.4 розділу I цього Закону (щодо створення підрозділів кіберзахисту в держорганах), який набирає чинності через шість місяців з дня його офіційного опублікування – 19 жовтня 2025 р. (п.1 розділу ІІ «Прикінцеві положення» Закону № 4336).¹

¹ Закон № 4336 офіційно опубліковано в газеті «Голос України» від 19.04.2025 р. № 77.