Це не перші в Україні ініціативи направлені на врегулювання сфери критичної інфраструктури та її захисту. Правове регулювання системи захисту і стійкості критичної інфраструктури є для України перезрілим питанням.
І не дивлячись на те, що у 2018 році набрали чинності базові законодавчі норми, що зобов'язували Кабінет міністрів України імплементувати систему нормативних актів, починаючи з формування переліку об'єктів критичної інфраструктури, цього до сих пір цього не сталося.
Очевидно, Україна не зможе системно, прозоро і успішно реагувати на виклики по відношенню до своєї критичної інфраструктури, перебуваючи в правовому вакуумі. Тому, всі діючі ініціативи є лише логічною відповіддю держави на свій намір закрити цей пробіл.
За оцінкою експертів Asters, деякі з цих ініціатив мають високу ймовірність бути прийнятими, а тому бізнесу - потенційним об'єктам критичної інфраструктури доцільно включитися в процес їхнього обговорення, а, в окремих випадках, вже розпочати планувати підготовку до їхнього виконання.
Asters продовжує аналізувати вплив ініціатив на бізнес в Україні, а також бере активну участь в їх обговоренні з представниками бізнесу та державних органів – ініціаторів проектів.
Нижче – стислий огляд основних ініціатив в цій сфері.
Законодавчі підстави
У 2018 році набрав чинності Закон України "Про основні засади забезпечення кібербезпеки України".
Закон запроваджує термін об'єкта критичної інфраструктури, визначає повноваження для формування переліку об'єктів критичної інфраструктури, декларує спеціальний режим для операторів критичної інфраструктури, однак не встановлює критеріїв, згідно з якими ті чи інші об'єкти можуть бути ідентифіковані як об'єкти критичної інфраструктури. Порядок реалізації таких повноважень відповідно до Закону мав бути прийнятий ще у 2018 році.
Чинний Закон визначає, що до об'єктів критичної інфраструктури можуть бути віднесені підприємства, установи та організації, які здійснюють діяльність і надають послуги в галузі енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, в банківському і фінансовому секторах.
Ініціативи Адміністрації Держспецзв'язку
Адміністрацією Держспецзв'язку було розроблено низку проектів нормативних документів.
Частина проектів є результатом все ще невиконаних з 2018 року зобов'язань КМУ на підставі вищезгаданого Закону, починаючи з встановлення порядку формування переліку об'єктів критичної інфраструктури, їхньої категоризації, спеціальних режимів і аудиту інформаційної безпеки. Інші є спробою реформування системи захисту інформації, яку також запропоновано поширити і на об'єкти критичної інфраструктури в залежності від критичності інформації, що обробляється в інформаційних комунікаційних системах (надалі – ІКС).
Серед таких ініціатив:
В даних проектах, серед іншого, визначено сектори критичної інфраструктури, наведений перелік основних послуг.
Віднесення об'єкта до об'єкта критичної інфраструктури здійснюється за секторами економіки за ознакою надання послуг, які визначені як "основні послуги".
Наприклад, якщо підприємство виробляє або надає послуги з розподілу електроенергії, надає хмарні послуги, здійснює виробництво або переробку с / г та / або харчової продукції, надає послуги з інтелектуального управління транспортних систем, то такі підприємства будуть віднесені до об'єктів критичної інфраструктури.
На власника/керівника підприємства/установи, віднесеного до об'єкта критичної інфраструктури покладається відповідальність за забезпечення кіберзахисту комунікаційних і технологічних систем, забезпечення захисту технологічної інформації, інформування урядової команди реагування (CERT-UA) про кіберінцідентах, а також за організацію і проведення незалежного аудиту інформаційної безпеки .
2. Пакет проектів про незалежний аудит інформаційної безпеки об'єктів критичної інфраструктури:
3. Пакет актів про заходи щодо кібербезпеки, захисту інформації щодо об'єктів критичної інфраструктури і використовуваних інформаційно-комунікаційних систем:
Даний проект передбачає багато новацій і викликав найбільшу кількість дискусій серед усіх представлених ініціатив Адміністрації Держспецзв'язку. В даний час очікується публікація оновленої редакції проекту за результатами громадського обговорення з експертами та представниками бізнесу.
Серед іншого пропонується скасувати існуючу комплексну системи захисту інформації "КСЗІ" і впровадити процедуру акредитації з безпеки ІКС; скасувати ліцензування в сфері криптографічного та технічного захисту інформації і запровадити ведення Реєстру суб'єктів, які здійснюють діяльність в сфері захисту інформації; новий регулятор з безпеки інформації та ІКС, функції якого, ймовірно, буде виконувати сама ж Адміністрація Держспецзв'язку.
Інші ініціативи держави щодо регулювання об'єктів критичної інфраструктури
Мінекономрозвитку розробило і 16.06.2020р. розмістило для публічного обговорення на своєму офіційному веб-сайті проект закону "Про захист критичної інфраструктури".
У проекті закону пропонується визначення основних принципів державної політики в сфері захисту критичної інфраструктури; врегулювання правових і господарських відносин, що виникають при такій діяльності; повноваження державних органів у сфері захисту критичної інфраструктури, серед яких Адміністрація Держспецзв'язку.
Також проект закону передбачає повноваження Адміністрації Держспецзв`язку у формуванні та реалізації державної політики щодо захисту критичної технологічної інформації; формуванні загальних вимог до кіберзахисту об'єктів критичної інфраструктури. Крім того, передбачається, що Адміністрація Держспецзв`язку буде здійснювати державний контроль у цій сфері та вести перелік об'єктів критичної інформаційної інфраструктури. здійснювати заходи щодо його поновлення та актуалізації.
За додатковою інформацією, будь ласка, звертайтесь до партнера Asters Юрія Котлярова.