+ Слово має бути в результатах пошуку. - Видалення слова з результатів пошуку. * Слово починається/закінчується на текст перед/після символу. ""Пошук слів у складі фрази.

 

Щодо Закону України «Про основні засади забезпечення кібербезпеки України»

18 грудня, 2017 Інформаційні листи

7 листопада 2017 року Президент України підписав Закон України «Про основні засади здійснення кібербезпеки України» (далі – Закон 2163-VIII), котрий, як очікувалося, окреслить контури законодавчої бази, що містить спеціальні норми регламентування відносин у сфері кібербезпеки України. Закон 2163-VIII набирає чинності 9 травня 2018 року.

Які перші враження?

1.

Перш за все, слід відзначити, що до прийняття Закону 2163-VIII блок національного законодавства щодо кібербезпеки не містив профільного Закону, а питання врегулювання системи відносин у даній сфері в цілому покладалося на численні норми загального характеру – незначна кількість спеціальних норм була віднесена на рівень Указів Президента України (Указ Президента України «Про рішення Ради національної безпеки і оборони України від 27 січня 2016 року «Про Стратегію кібербезпеки України» від 15 березня 2016 року № 96/2016; Указ Президента України «Про Національний координаційний центр кібербезпеки» від 7 червня 2016 року № 242/2016).

Очікувалося, що Закон 2163-VIII, виконуючи роль центрального акта в структурі законодавства стосовно кібербезпеки, по-перше, впорядкує термінологію, що застосовується в означених Указах Президента України і, по-друге, закріпить детальний обсяг повноважень суб’єктів національної системи кібербезпеки, а також порядок їх взаємодії у даній сфері.

Якщо ж з першим завданням законодавець впорався, то виконання другого залишає бажати кращого – в цьому контексті Закон 2163-VIII обмежується загальними формулюваннями та дублює Розділ 3 вищенаведеного Указу Президента України № 96/2016.

Та й взагалі слід зазначити, що Закон 2163-VIII був швидше прийнятий «на перспективу», адже наразі ще існують пов’язані з виконанням даного Закону питання, котрі потребують подальшого вирішення. Зокрема, на Кабінет Міністрів України покладається затвердження нормативно-правових актів з аудиту інформаційної безпеки, порядку функціонування Національної телекомунікаційної мережі, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури, переліку таких об’єктів, загальних вимог до їх кіберзахисту тощо.

2.

Положення Закону 2163-VIII стосовно сфери його застосування є досить розмитими.

З першого погляду простежується, що, формулюючи вказані положення, Законодавець використав принцип «від зворотного» та недвозначно вказав в ч. 1 ст. 2 Закону 2163-VIII, що

«цей Закон не поширюється на:

1. відносини та послуги, пов’язані із змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах;

2. діяльність, пов’язану із захистом інформації, що становить державну таємницю, комунікаційні та технологічні системи, призначені для її оброблення;

3. соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів;

4. комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних (крім технологічних систем)».

Аналізуючи лише дану норму, неможливо дати відповідь на питання, чи поширюється Закон 2163-VIII на приватні мережі суб’єктів господарювання, адже такі мережі, все ж таки, підключені до мережі Інтернет.

Проте, якщо розглядати вказану норму в сукупності з нормою ч. 2 ст. 4 Закону 2163-VIII, котра визначає перелік об’єктів кіберзахисту (серед яких закріплено об’єкти критичної інформаційної інфраструктури), то можна зробити попередній висновок, що все ж таки даний Закон буде поширювати свою дію на приватні мережі суб’єктів господарювання у разі, коли того чи іншого господарюючого суб’єкта буде віднесено до об’єктів критичної інфраструктури.

Варто також вказати на той факт, що законодавець не закріпив вичерпного переліку об’єктів критичної інфраструктури, обмежившись лише формулюванням відносних критеріїв можливості віднесення підприємств, установ та організацій до таких об’єктів – будь-яка форма власності, визначена сфера діяльності та особливе значення для економіки та навколишнього середовища.

3.

Ознайомлюючись із положеннями Закону 2163-VIII, не можна обійти стороною проблему неузгодженості та відсутності конкретизації повноважень суб’єктів національної системи кібербезпеки.

Так, наприклад, досвід кібератаки минулого літа, здається, вже мав би бути врахований у даному Законі. Нагадаємо, що Торгово-промислова палата України чекала від кіберполіції на офіційне підтвердження строків кібератаки, а також роз’яснення юридичних підстав, що підтверджують факт кібератаки, щоб мати змогу підтверджувати форс-мажорні обставини.

Не зважаючи на вже наявний досвід, Закон 2163-VIII не вносить визначеності в повноваження державних органів, хто і що повинен робити у разі кібератаки або її загрози.

Безумовно, Закон 2163-VIII є своєрідним маяком у системі актів законодавства, що регулюють відносини у сфері кібербезпеки. Хоча його прийняття є дещо запізнілим у контексті подій сьогодення, але, враховуючи юридичну силу даного акта, зумовить розвиток вказаної сфери національної безпеки.

Проте на практиці застосувати його буде досить важко, принаймні до прийняття значної кількості підзаконних правових актів, з огляду на декларативний зміст положень Закону 2163-VIII, на наявність у ньому значної кількості бланкетних норм, а також на неузгодженість норм стосовно принципів правового регулювання відносин у сфері кібербезпеки та системи державних органів у даній сфері.

Звертаємо Вашу увагу на те, що наведений вище коментар не є консультацією і пропонується з інформаційною метою. В конкретних ситуаціях рекомендується отримання повної фахової консультації.

З повагою,

© WTS Consulting LLC, 2017

Перегляди 6777

МАТЕРІАЛИ ПО ТЕМІ

Нові перепони для платників податків. Відшкодування витрат на правничу допомогу 25 жовтня, 2018    2470

Про вічне 22 жовтня, 2018    1691

Валютне регулювання по-новому, у зв’язку з прийняттям Закону України «Про валюту і валютні операції» 17 липня, 2018    8422

Виключення технічного переоснащення та інші зміни дозвільних процедур у будівництві 11 червня, 2018    6350

Зміни у регулюванні касових операцій (повний огляд) 06 червня, 2018    1282

Зміни у регулюванні касових операцій (продовження) 01 червня, 2018    1073

Зміни у регулюванні касових операцій 30 травня, 2018    3064

До теми відповідальності за порушення у сфері містобудівного законодавства 15 травня, 2018    9504

Забезпечення судових витрат як новий засіб боротьби із необґрунтованими позовами 14 травня, 2018    1278

Оцінка впливу на довкілля при реалізації проектів на діючих підприємствах 27 квітня, 2018    1229

Істотні ризики для господарської діяльності у зв’язку з ухваленням закону про корпоративні договори та закону про товариства з обмеженою та додатковою відповідальністю 22 березня, 2018    9783

За яких умов можливе проведення позапланових перевірок у 2018 році? 19 березня, 2018    1247

Прокоментувати