ЗАКОН УКРАЇНИ
Про основнi засади забезпечення кiбербезпеки України
Iз змiнами i доповненнями, внесеними
Законами України
вiд 21 червня 2018 року N 2469-VIII,
вiд 17 червня 2020 року N 720-IX,
вiд 17 вересня 2020 року N 912-IX
Цей Закон визначає правовi та органiзацiйнi основи забезпечення захисту життєво важливих iнтересiв людини i громадянина, суспiльства та держави, нацiональних iнтересiв України у кiберпросторi, основнi цiлi, напрями та принципи державної полiтики у сферi кiбербезпеки, повноваження державних органiв, пiдприємств, установ, органiзацiй, осiб та громадян у цiй сферi, основнi засади координацiї їхньої дiяльностi iз забезпечення кiбербезпеки.
Стаття 1. Визначення термiнiв
У цьому Законi наведенi нижче термiни вживаються в такому значеннi:
1) iндикатори кiберзагроз - показники (технiчнi данi), що використовуються для виявлення та реагування на кiберзагрози;
2) iнформацiя про iнцидент кiбербезпеки - вiдомостi про обставини кiберiнциденту, зокрема про те, якi об'єкти кiберзахисту i за яких умов зазнали кiбератаки, якi з них успiшно виявленi, нейтралiзованi, яким запобiгли за допомогою яких засобiв кiберзахисту, у тому числi з використанням яких iндикаторiв кiберзагроз;
3) iнцидент кiбербезпеки (далi - кiберiнцидент) - подiя або ряд несприятливих подiй ненавмисного характеру (природного, технiчного, технологiчного, помилкового, у тому числi внаслiдок дiї людського фактора) та/або таких, що мають ознаки можливої (потенцiйної) кiбератаки, якi становлять загрозу безпецi систем електронних комунiкацiй, систем управлiння технологiчними процесами, створюють iмовiрнiсть порушення штатного режиму функцiонування таких систем (у тому числi зриву та/або блокування роботи системи, та/або несанкцiонованого управлiння її ресурсами), ставлять пiд загрозу безпеку (захищенiсть) електронних iнформацiйних ресурсiв;
4) кiбератака - спрямованi (навмиснi) дiї в кiберпросторi, якi здiйснюються за допомогою засобiв електронних комунiкацiй (включаючи iнформацiйно-комунiкацiйнi технологiї, програмнi, програмно-апаратнi засоби, iншi технiчнi та технологiчнi засоби i обладнання) та спрямованi на досягнення однiєї або сукупностi таких цiлей: порушення конфiденцiйностi, цiлiсностi, доступностi електронних iнформацiйних ресурсiв, що обробляються (передаються, зберiгаються) в комунiкацiйних та/або технологiчних системах, отримання несанкцiонованого доступу до таких ресурсiв; порушення безпеки, сталого, надiйного та штатного режиму функцiонування комунiкацiйних та/або технологiчних систем; використання комунiкацiйної системи, її ресурсiв та засобiв електронних комунiкацiй для здiйснення кiбератак на iншi об'єкти кiберзахисту;
5) кiбербезпека - захищенiсть життєво важливих iнтересiв людини i громадянина, суспiльства та держави пiд час використання кiберпростору, за якої забезпечуються сталий розвиток iнформацiйного суспiльства та цифрового комунiкативного середовища, своєчасне виявлення, запобiгання i нейтралiзацiя реальних i потенцiйних загроз нацiональнiй безпецi України у кiберпросторi;
6) кiберзагроза - наявнi та потенцiйно можливi явища i чинники, що створюють небезпеку життєво важливим нацiональним iнтересам України у кiберпросторi, справляють негативний вплив на стан кiбербезпеки держави, кiбербезпеку та кiберзахист її об'єктiв;
7) кiберзахист - сукупнiсть органiзацiйних, правових, iнженерно-технiчних заходiв, а також заходiв криптографiчного та технiчного захисту iнформацiї, спрямованих на запобiгання кiберiнцидентам, виявлення та захист вiд кiбератак, лiквiдацiю їх наслiдкiв, вiдновлення сталостi i надiйностi функцiонування комунiкацiйних, технологiчних систем;
8) кiберзлочин (комп'ютерний злочин) - суспiльно небезпечне винне дiяння у кiберпросторi та/або з його використанням, вiдповiдальнiсть за яке передбачена законом України про кримiнальну вiдповiдальнiсть та/або яке визнано злочином мiжнародними договорами України;
9) кiберзлочиннiсть - сукупнiсть кiберзлочинiв;
10) кiбероборона - сукупнiсть полiтичних, економiчних, соцiальних, вiйськових, наукових, науково-технiчних, iнформацiйних, правових, органiзацiйних та iнших заходiв, якi здiйснюються в кiберпросторi та спрямованi на забезпечення захисту суверенiтету та обороноздатностi держави, запобiгання виникненню збройного конфлiкту та вiдсiч збройнiй агресiї;
11) кiберпростiр - середовище (вiртуальний простiр), яке надає можливостi для здiйснення комунiкацiй та/або реалiзацiї суспiльних вiдносин, утворене в результатi функцiонування сумiсних (з'єднаних) комунiкацiйних систем та забезпечення електронних комунiкацiй з використанням мережi Iнтернет та/або iнших глобальних мереж передачi даних;
12) кiберрозвiдка - дiяльнiсть, що здiйснюється розвiдувальними органами у кiберпросторi або з його використанням;
13) кiбертероризм - терористична дiяльнiсть, що здiйснюється у кiберпросторi або з його використанням;
14) кiбершпигунство - шпигунство, що здiйснюється у кiберпросторi або з його використанням;
15) критична iнформацiйна iнфраструктура - сукупнiсть об'єктiв критичної iнформацiйної iнфраструктури;
16) критично важливi об'єкти iнфраструктури (далi - об'єкти критичної iнфраструктури) - пiдприємства, установи та органiзацiї незалежно вiд форми власностi, дiяльнiсть яких безпосередньо пов'язана з технологiчними процесами та/або наданням послуг, що мають велике значення для економiки та промисловостi, функцiонування суспiльства та безпеки населення, виведення з ладу або порушення функцiонування яких може справити негативний вплив на стан нацiональної безпеки i оборони України, навколишнього природного середовища, заподiяти майнову шкоду та/або становити загрозу для життя i здоров'я людей;
17) Нацiональна телекомунiкацiйна мережа - сукупнiсть спецiальних телекомунiкацiйних систем (мереж), систем спецiального зв'язку, iнших комунiкацiйних систем, якi використовуються в iнтересах органiв державної влади та органiв мiсцевого самоврядування, правоохоронних органiв та вiйськових формувань, утворених вiдповiдно до закону, призначена для обiгу (передавання, приймання, створення, оброблення, зберiгання) та захисту нацiональних iнформацiйних ресурсiв, забезпечення захищених електронних комунiкацiй, надання спектра сучасних захищених iнформацiйно-комунiкацiйних (мультисервiсних) послуг в iнтересах здiйснення управлiння державою у мирний час, в умовах надзвичайного стану та в особливий перiод, та яка є мережею (системою) подвiйного призначення з використанням частини її ресурсу для надання послуг, зокрема з кiберзахисту, iншим споживачам;
18) нацiональнi електроннi iнформацiйнi ресурси (далi - нацiональнi iнформацiйнi ресурси) - систематизованi електроннi iнформацiйнi ресурси, якi мiстять iнформацiю незалежно вiд виду, змiсту, форми, часу i мiсця її створення (включаючи публiчну iнформацiю, державнi iнформацiйнi ресурси та iншу iнформацiю), призначену для задоволення життєво важливих суспiльних потреб громадянина, особи, суспiльства i держави. Пiд електронними iнформацiйними ресурсами розумiється будь-яка iнформацiя, що створена, записана, оброблена або збережена у цифровiй чи iншiй нематерiальнiй формi за допомогою електронних, магнiтних, електромагнiтних, оптичних, технiчних, програмних або iнших засобiв;
19) об'єкт критичної iнформацiйної iнфраструктури - комунiкацiйна або технологiчна система об'єкта критичної iнфраструктури, кiбератака на яку безпосередньо вплине на стале функцiонування такого об'єкта критичної iнфраструктури;
20) система управлiння технологiчними процесами (далi - технологiчна система) - автоматизована або автоматична система, яка є сукупнiстю обладнання, засобiв, комплексiв та систем обробки, передачi та приймання, призначена для органiзацiйного управлiння та/або управлiння технологiчними процесами (включаючи промислове, електронне, комунiкацiйне обладнання, iншi технiчнi та технологiчнi засоби) незалежно вiд наявностi доступу системи до мережi Iнтернет та/або iнших глобальних мереж передачi даних;
21) системи електронних комунiкацiй (далi - комунiкацiйнi системи) - системи передавання, комутацiї або маршрутизацiї, обладнання та iншi ресурси (включаючи пасивнi мережевi елементи, якi дають змогу передавати сигнали за допомогою проводових, радiо-, оптичних або iнших електромагнiтних засобiв, мережi мобiльного, супутникового зв'язку, електричнi кабельнi мережi в частинi, в якiй вони використовуються для цiлей передачi сигналiв), що забезпечують електроннi комунiкацiї (передачу електронних iнформацiйних ресурсiв), у тому числi засоби i пристрої зв'язку, комп'ютери, iнша комп'ютерна технiка, iнформацiйно-телекомунiкацiйнi системи, якi мають доступ до мережi Iнтернет та/або iнших глобальних мереж передачi даних.
Термiни "нацiональна безпека", "нацiональнi iнтереси", "загрози нацiональнiй безпецi" вживаються в цьому Законi у значеннi, визначеному Законом України "Про основи нацiональної безпеки України".
Стаття 2. Принципи застосування Закону
1. Цей Закон не поширюється на:
1) вiдносини та послуги, пов'язанi iз змiстом iнформацiї, що обробляється (передається, зберiгається) в комунiкацiйних та/або в технологiчних системах;
2) дiяльнiсть, пов'язану iз захистом iнформацiї, що становить державну таємницю, комунiкацiйнi та технологiчнi системи, призначенi для її оброблення;
3) соцiальнi мережi, приватнi електроннi iнформацiйнi ресурси в мережi Iнтернет (включаючи блог-платформи, вiдеохостинги, iншi веб-ресурси), якщо такi iнформацiйнi ресурси не мiстять iнформацiю, необхiднiсть захисту якої встановлена законом, вiдносини та послуги, пов'язанi з функцiонуванням таких мереж i ресурсiв;
4) комунiкацiйнi системи, якi не взаємодiють з публiчними мережами електронних комунiкацiй (електронними мережами загального користування), не пiдключенi до мережi Iнтернет та/або iнших глобальних мереж передачi даних (крiм технологiчних систем).
2. Застосування законодавства у сферi кiбербезпеки та прийняття суб'єктами владних повноважень рiшень на виконання норм цього Закону здiйснюються з додержанням принципiв:
1) мiнiмально необхiдного регулювання, згiдно з яким рiшення (заходи) суб'єктiв владних повноважень повиннi бути необхiдними i мiнiмально достатнiми для досягнення мети i завдань, визначених цим Законом;
2) об'єктивностi та правової визначеностi, максимально можливого застосування нацiонального та мiжнародного права щодо повноважень i обов'язкiв державних органiв, пiдприємств, установ, органiзацiй, громадян у сферi кiбербезпеки;
3) забезпечення захисту прав користувачiв комунiкацiйних систем та/або споживачiв послуг електронних комунiкацiй, та/або послуг iз захисту iнформацiї, кiберзахисту, у тому числi прав щодо невтручання у приватне життя i захисту персональних даних;
4) прозоростi, згiдно з яким рiшення (заходи) суб'єктiв владних повноважень мають бути належним чином обґрунтованi та повiдомленi суб'єктам, яких вони стосуються, до набрання ними чинностi (їх застосування);
5) збалансованостi вимог та вiдповiдальностi, згiдно з яким має бути забезпечено баланс мiж встановленням вiдповiдальностi за невиконання вимог кiбербезпеки та кiберзахисту, а також за запровадження надмiрних вимог та обмежень;
6) недискримiнацiї, згiдно з яким рiшення, дiї та бездiяльнiсть суб'єктiв владних повноважень не можуть призводити до юридичного або фактичного обсягу прав та обов'язкiв особи, який є:
вiдмiнним вiд обсягу прав та обов'язкiв iнших осiб у подiбних ситуацiях, якщо тiльки така вiдмiннiсть не є необхiдною та мiнiмально достатньою для задоволення загальносуспiльного iнтересу;
таким, як i обсяг прав та обов'язкiв iнших осiб у неподiбних ситуацiях, якщо така однаковiсть не є необхiдною та мiнiмально достатньою для задоволення загальносуспiльного iнтересу;
7) еквiвалентностi вимог до забезпечення кiбербезпеки об'єктiв критичної iнфраструктури, згiдно з яким застосування правових норм повинно бути якомога бiльш рiвнозначним щодо кiберзахисту комунiкацiйних та технологiчних систем об'єктiв критичної iнфраструктури, що належать до одного сектору економiки та/або якi здiйснюють аналогiчнi функцiї.
Зазначенi принципи застосовуються без переваги будь-якого з них з урахуванням мети i завдань цього Закону.
Стаття 3. Правовi основи забезпечення кiбербезпеки України
1. Правову основу забезпечення кiбербезпеки України становлять Конституцiя України, закони України щодо основ нацiональної безпеки, засад внутрiшньої i зовнiшньої полiтики, електронних комунiкацiй, захисту державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом, цей та iншi закони України, Конвенцiя про кiберзлочиннiсть, iншi мiжнароднi договори, згода на обов'язковiсть яких надана Верховною Радою України, укази Президента України, акти Кабiнету Мiнiстрiв України, а також iншi нормативно-правовi акти, що приймаються на виконання законiв України.
2. Якщо мiжнародним договором України, згоду на обов'язковiсть якого надано Верховною Радою України, передбачено iншi правила, нiж встановленi цим Законом, застосовуються положення мiжнародного договору України.
Стаття 4. Об'єкти кiбербезпеки та кiберзахисту
1. Об'єктами кiбербезпеки є:
1) конституцiйнi права i свободи людини i громадянина;
2) суспiльство, сталий розвиток iнформацiйного суспiльства та цифрового комунiкативного середовища;
3) держава, її конституцiйний лад, суверенiтет, територiальна цiлiснiсть i недоторканнiсть;
4) нацiональнi iнтереси в усiх сферах життєдiяльностi особи, суспiльства та держави;
5) об'єкти критичної iнфраструктури.
2. Об'єктами кiберзахисту є:
1) комунiкацiйнi системи всiх форм власностi, в яких обробляються нацiональнi iнформацiйнi ресурси та/або якi використовуються в iнтересах органiв державної влади, органiв мiсцевого самоврядування, правоохоронних органiв та вiйськових формувань, утворених вiдповiдно до закону;
2) об'єкти критичної iнформацiйної iнфраструктури;
3) комунiкацiйнi системи, якi використовуються для задоволення суспiльних потреб та/або реалiзацiї правовiдносин у сферах електронного урядування, електронних державних послуг, електронної комерцiї, електронного документообiгу.
3. Порядок формування перелiку об'єктiв критичної iнформацiйної iнфраструктури, перелiк таких об'єктiв та порядок їх внесення до державного реєстру об'єктiв критичної iнформацiйної iнфраструктури, а також порядок формування та забезпечення функцiонування державного реєстру об'єктiв критичної iнформацiйної iнфраструктури затверджуються Кабiнетом Мiнiстрiв України.
Повноваження щодо формування та забезпечення функцiонування реєстру об'єктiв критичної iнформацiйної iнфраструктури у банкiвськiй системi України покладаються на Нацiональний банк України.
Стаття 5. Суб'єкти забезпечення кiбербезпеки
1. Координацiя дiяльностi у сферi кiбербезпеки як складової нацiональної безпеки України здiйснюється Президентом України через очолювану ним Раду нацiональної безпеки i оборони України.
2. Нацiональний координацiйний центр кiбербезпеки як робочий орган Ради нацiональної безпеки i оборони України здiйснює координацiю та контроль за дiяльнiстю суб'єктiв сектору безпеки i оборони, якi забезпечують кiбербезпеку, вносить Президентовi України пропозицiї щодо формування та уточнення Стратегiї кiбербезпеки України.
3. Кабiнет Мiнiстрiв України забезпечує формування та реалiзацiю державної полiтики у сферi кiбербезпеки, захист прав i свобод людини i громадянина, нацiональних iнтересiв України у кiберпросторi, боротьбу з кiберзлочиннiстю; органiзовує та забезпечує необхiдними силами, засобами i ресурсами функцiонування нацiональної системи кiбербезпеки; формує вимоги та забезпечує функцiонування системи аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури (крiм об'єктiв критичної iнфраструктури у банкiвськiй системi України).
4. Суб'єктами, якi безпосередньо здiйснюють у межах своєї компетенцiї заходи iз забезпечення кiбербезпеки, є:
1) мiнiстерства та iншi центральнi органи виконавчої влади;
2) мiсцевi державнi адмiнiстрацiї;
3) органи мiсцевого самоврядування;
4) правоохороннi, розвiдувальнi i контррозвiдувальнi органи, суб'єкти оперативно-розшукової дiяльностi;
5) Збройнi Сили України, iншi вiйськовi формування, утворенi вiдповiдно до закону;
6) Нацiональний банк України;
7) пiдприємства, установи та органiзацiї, вiднесенi до об'єктiв критичної iнфраструктури;
8) суб'єкти господарювання, громадяни України та об'єднання громадян, iншi особи, якi провадять дiяльнiсть та/або надають послуги, пов'язанi з нацiональними iнформацiйними ресурсами, iнформацiйними електронними послугами, здiйсненням електронних правочинiв, електронними комунiкацiями, захистом iнформацiї та кiберзахистом.
5. Суб'єкти забезпечення кiбербезпеки у межах своєї компетенцiї:
1) здiйснюють заходи щодо запобiгання використанню кiберпростору у воєнних, розвiдувально-пiдривних, терористичних та iнших протиправних i злочинних цiлях;
2) здiйснюють виявлення i реагування на кiберiнциденти та кiбератаки, усунення їх наслiдкiв;
3) здiйснюють iнформацiйний обмiн щодо реалiзованих та потенцiйних кiберзагроз;
4) розробляють i реалiзують запобiжнi, органiзацiйнi, освiтнi та iншi заходи у сферi кiбербезпеки, кiбероборони та кiберзахисту;
5) забезпечують проведення аудиту iнформацiйної безпеки, у тому числi на пiдпорядкованих об'єктах та об'єктах, що належать до сфери їх управлiння;
6) здiйснюють iншi заходи iз забезпечення розвитку та безпеки кiберпростору.
Стаття 6. Об'єкти критичної iнфраструктури
1. До об'єктiв критичної iнфраструктури можуть бути вiднесенi пiдприємства, установи та органiзацiї незалежно вiд форми власностi, якi:
1) провадять дiяльнiсть та надають послуги в галузях енергетики, хiмiчної промисловостi, транспорту, iнформацiйно-комунiкацiйних технологiй, електронних комунiкацiй, у банкiвському та фiнансовому секторах;
2) надають послуги у сферах життєзабезпечення населення, зокрема у сферах централiзованого водопостачання, водовiдведення, постачання електричної енергiї i газу, виробництва продуктiв харчування, сiльського господарства, охорони здоров'я;
3) є комунальними, аварiйними та рятувальними службами, службами екстреної допомоги населенню;
4) включенi до перелiку пiдприємств, що мають стратегiчне значення для економiки i безпеки держави;
5) є об'єктами потенцiйно небезпечних технологiй i виробництв.
2. Критерiї та порядок вiднесення об'єктiв до об'єктiв критичної iнфраструктури, перелiк таких об'єктiв, загальнi вимоги до їх кiберзахисту, у тому числi щодо застосування iндикаторiв кiберзагроз, та вимоги до проведення незалежного аудиту iнформацiйної безпеки затверджуються Кабiнетом Мiнiстрiв України, а в банкiвськiй системi України - Нацiональним банком України.
3. Вимоги i порядок проведення незалежного аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури встановлюються вiдповiдними нормативно-правовими актами з аудиту iнформацiйної безпеки, що затверджуються Кабiнетом Мiнiстрiв України.
Розроблення нормативно-правових актiв з незалежного аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури здiйснюється на основi мiжнародних стандартiв, стандартiв Європейського Союзу та НАТО з обов'язковим залученням представникiв основних суб'єктiв нацiональної системи кiбербезпеки, наукових установ, незалежних аудиторiв та експертiв у сферi кiбербезпеки, громадських органiзацiй.
4. Вiдповiдальнiсть за забезпечення кiберзахисту комунiкацiйних i технологiчних систем об'єктiв критичної iнфраструктури, захисту технологiчної iнформацiї вiдповiдно до вимог законодавства, за невiдкладне iнформування урядової команди реагування на комп'ютернi надзвичайнi подiї України CERT-UA про iнциденти кiбербезпеки, за органiзацiю проведення незалежного аудиту iнформацiйної безпеки на таких об'єктах покладається на власникiв та/або керiвникiв пiдприємств, установ та органiзацiй, вiднесених до об'єктiв критичної iнфраструктури.
5. Обмiн iнформацiєю про iнциденти кiбербезпеки, що мiстить персональнi данi, здiйснюється з дотриманням вимог Закону України "Про захист персональних даних".
Стаття 7. Принципи забезпечення кiбербезпеки
1. Забезпечення кiбербезпеки в Українi ґрунтується на принципах:
1) верховенства права, законностi, поваги до прав людини i основоположних свобод та їх захисту в порядку, визначеному законом;
2) забезпечення нацiональних iнтересiв України;
3) вiдкритостi, доступностi, стабiльностi та захищеностi кiберпростору, розвитку мережi Iнтернет та вiдповiдальних дiй у кiберпросторi;
4) державно-приватної взаємодiї, широкої спiвпрацi з громадянським суспiльством у сферi кiбербезпеки та кiберзахисту, зокрема шляхом обмiну iнформацiєю про iнциденти кiбербезпеки, реалiзацiї спiльних наукових та дослiдницьких проектiв, навчання та пiдвищення квалiфiкацiї кадрiв у цiй сферi;
5) пропорцiйностi та адекватностi заходiв кiберзахисту реальним та потенцiйним ризикам, реалiзацiї невiд'ємного права держави на самозахист вiдповiдно до норм мiжнародного права у разi вчинення агресивних дiй у кiберпросторi;
6) прiоритетностi запобiжних заходiв;
7) невiдворотностi покарання за вчинення кiберзлочинiв;
8) прiоритетного розвитку та пiдтримки вiтчизняного наукового, науково-технiчного та виробничого потенцiалу;
9) мiжнародного спiвробiтництва з метою змiцнення взаємної довiри у сферi кiбербезпеки та вироблення спiльних пiдходiв у протидiї кiберзагрозам, консолiдацiї зусиль у розслiдуваннi та запобiганнi кiберзлочинам, недопущення використання кiберпростору в терористичних, воєнних, iнших протиправних цiлях;
10) забезпечення демократичного цивiльного контролю за утвореними вiдповiдно до законiв України вiйськовими формуваннями та правоохоронними органами, що провадять дiяльнiсть у сферi кiбербезпеки.
Стаття 8. Нацiональна система кiбербезпеки
1. Нацiональна система кiбербезпеки є сукупнiстю суб'єктiв забезпечення кiбербезпеки та взаємопов'язаних заходiв полiтичного, науково-технiчного, iнформацiйного, освiтнього характеру, органiзацiйних, правових, оперативно-розшукових, розвiдувальних, контррозвiдувальних, оборонних, iнженерно-технiчних заходiв, а також заходiв криптографiчного i технiчного захисту нацiональних iнформацiйних ресурсiв, кiберзахисту об'єктiв критичної iнформацiйної iнфраструктури.
2. Основними суб'єктами нацiональної системи кiбербезпеки є Державна служба спецiального зв'язку та захисту iнформацiї України, Нацiональна полiцiя України, Служба безпеки України, Мiнiстерство оборони України та Генеральний штаб Збройних Сил України, розвiдувальнi органи, Нацiональний банк України, якi вiдповiдно до Конституцiї i законiв України виконують в установленому порядку такi основнi завдання:
1) Державна служба спецiального зв'язку та захисту iнформацiї України забезпечує формування та реалiзацiю державної полiтики щодо захисту у кiберпросторi державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом, кiберзахисту об'єктiв критичної iнформацiйної iнфраструктури, здiйснює державний контроль у цих сферах; координує дiяльнiсть iнших суб'єктiв забезпечення кiбербезпеки щодо кiберзахисту; забезпечує створення та функцiонування Нацiональної телекомунiкацiйної мережi, впровадження органiзацiйно-технiчної моделi кiберзахисту; здiйснює органiзацiйно-технiчнi заходи iз запобiгання, виявлення та реагування на кiберiнциденти i кiбератаки та усунення їх наслiдкiв; iнформує про кiберзагрози та вiдповiднi методи захисту вiд них; забезпечує впровадження аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури, встановлює вимоги до аудиторiв iнформацiйної безпеки, визначає порядок їх атестацiї (переатестацiї); координує, органiзовує та проводить аудит захищеностi комунiкацiйних i технологiчних систем об'єктiв критичної iнфраструктури на вразливiсть; забезпечує функцiонування Державного центру кiберзахисту, урядової команди реагування на комп'ютернi надзвичайнi подiї України CERT-UA;
2) Нацiональна полiцiя України забезпечує захист прав i свобод людини i громадянина, iнтересiв суспiльства i держави вiд кримiнально протиправних посягань у кiберпросторi; здiйснює заходи iз запобiгання, виявлення, припинення та розкриття кiберзлочинiв, пiдвищення поiнформованостi громадян про безпеку в кiберпросторi;
(пункт 2 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 17.06.2020р. N 720-IX) |
3) Служба безпеки України здiйснює запобiгання, виявлення, припинення та розкриття кримiнальних правопорушень проти миру i безпеки людства, якi вчиняються у кiберпросторi; здiйснює контррозвiдувальнi та оперативно-розшуковi заходи, спрямованi на боротьбу з кiбертероризмом та кiбершпигунством, негласно перевiряє готовнiсть об'єктiв критичної iнфраструктури до можливих кiбератак та кiберiнцидентiв; протидiє кiберзлочинностi, наслiдки якої можуть створити загрозу життєво важливим iнтересам держави; розслiдує кiберiнциденти та кiбератаки щодо державних електронних iнформацiйних ресурсiв, iнформацiї, вимога щодо захисту якої встановлена законом, критичної iнформацiйної iнфраструктури; забезпечує реагування на кiберiнциденти у сферi державної безпеки;
(пункт 3 частини другої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 17.06.2020р. N 720-IX) |
4) Мiнiстерство оборони України, Генеральний штаб Збройних Сил України вiдповiдно до компетенцiї здiйснюють заходи з пiдготовки держави до вiдбиття воєнної агресiї у кiберпросторi (кiбероборони); здiйснюють вiйськову спiвпрацю з НАТО та iншими суб'єктами оборонної сфери щодо забезпечення безпеки кiберпростору та спiльного захисту вiд кiберзагроз; впроваджують заходи iз забезпечення кiберзахисту критичної iнформацiйної iнфраструктури в умовах надзвичайного i воєнного стану;
5) розвiдувальнi органи України здiйснюють розвiдувальну дiяльнiсть щодо загроз нацiональнiй безпецi України у кiберпросторi, iнших подiй i обставин, що стосуються сфери кiбербезпеки;
6) Нацiональний банк України визначає порядок, вимоги та заходи iз забезпечення кiберзахисту та iнформацiйної безпеки у банкiвськiй системi України та для суб'єктiв переказу коштiв, здiйснює контроль за їх виконанням; створює центр кiберзахисту Нацiонального банку України, забезпечує функцiонування системи кiберзахисту у банкiвськiй системi України; забезпечує проведення оцiнювання стану кiберзахисту та аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури у банкiвськiй системi України.
3. Функцiонування нацiональної системи кiбербезпеки забезпечується шляхом:
1) вироблення i оперативної адаптацiї державної полiтики у сферi кiбербезпеки, спрямованої на розвиток кiберпростору, досягнення сумiсностi з вiдповiдними стандартами Європейського Союзу та НАТО;
2) створення нормативно-правової та термiнологiчної бази у сферi кiбербезпеки, гармонiзацiї нормативних документiв у сферi електронних комунiкацiй, захисту iнформацiї, iнформацiйної безпеки та кiбербезпеки вiдповiдно до мiжнародних стандартiв, зокрема стандартiв Європейського Союзу та НАТО;
3) встановлення обов'язкових вимог iнформацiйної безпеки об'єктiв критичної iнформацiйної iнфраструктури, у тому числi пiд час їх створення, введення в експлуатацiю, експлуатацiї та модернiзацiї з урахуванням мiжнародних стандартiв та специфiки галузi, до якої належать вiдповiднi об'єкти критичної iнформацiйної iнфраструктури;
4) формування конкурентного середовища у сферi електронних комунiкацiй, надання послуг iз захисту iнформацiї та кiберзахисту;
5) залучення експертного потенцiалу наукових установ, професiйних та громадських об'єднань до пiдготовки проектiв концептуальних документiв у сферi кiбербезпеки;
6) проведення навчань щодо дiй у разi надзвичайних ситуацiй та iнцидентiв у кiберпросторi;
7) функцiонування системи аудиту iнформацiйної безпеки, запровадження кращих свiтових практик i мiжнародних стандартiв з питань кiбербезпеки та кiберзахисту;
8) розвитку мережi команд реагування на комп'ютернi надзвичайнi подiї;
9) розвитку та вдосконалення системи технiчного i криптографiчного захисту iнформацiї;
10) забезпечення дотримання вимог законодавства щодо захисту державних iнформацiйних ресурсiв та iнформацiї;
11) створення та забезпечення функцiонування Нацiональної телекомунiкацiйної мережi;
12) обмiну iнформацiєю про iнциденти кiбербезпеки мiж суб'єктами забезпечення кiбербезпеки у порядку, визначеному законодавством;
13) впровадження єдиної (унiверсальної) системи iндикаторiв кiберзагроз з урахуванням мiжнародних стандартiв з питань кiбербезпеки та кiберзахисту;
14) пiдготовки фахiвцiв освiтньо-квалiфiкацiйних рiвнiв бакалавра i магiстра за державним замовленням в обсязi, необхiдному для задоволення потреб державного сектору економiки, а також за небюджетнi кошти, у тому числi для пiдвищення квалiфiкацiї та проведення обов'язкової перiодичної атестацiї (переатестацiї) персоналу, вiдповiдального за забезпечення кiбербезпеки об'єктiв критичної iнфраструктури, з урахуванням мiжнародних стандартiв;
15) впровадження органiзацiйно-технiчної моделi нацiональної системи кiбербезпеки як комплексу заходiв, сил i засобiв кiберзахисту, спрямованих на оперативне (кризове) реагування на кiбератаки та кiберiнциденти, впровадження контрзаходiв, спрямованих на мiнiмiзацiю вразливостi комунiкацiйних систем;
16) встановлення вимог (правил, настанов) щодо безпечного використання мережi Iнтернет та надання електронних послуг державними органами;
17) державно-приватної взаємодiї у запобiганнi кiберзагрозам об'єктам критичної iнфраструктури, реагуваннi на кiбератаки та кiберiнциденти, усуненнi їх наслiдкiв, зокрема в умовах кризових ситуацiй, надзвичайного i воєнного стану, в особливий перiод;
18) перiодичного проведення огляду нацiональної системи кiбербезпеки, розроблення iндикаторiв стану кiбербезпеки;
19) стратегiчного планування та програмно-цiльового забезпечення у сферi розвитку електронних комунiкацiй, iнформацiйних технологiй, захисту iнформацiї та кiберзахисту;
20) розвитку мiжнародного спiвробiтництва у сферi кiбербезпеки, пiдтримки мiжнародних iнiцiатив у сферi кiбербезпеки, що вiдповiдають нацiональним iнтересам України, поглиблення спiвпрацi України з Європейським Союзом та НАТО з метою посилення спроможностi України у сферi кiбербезпеки, участi у заходах iз змiцнення довiри при використаннi кiберпростору, що проводяться пiд егiдою Органiзацiї з безпеки i спiвробiтництва в Європi;
21) здiйснення оперативно-розшукових, розвiдувальних, контррозвiдувальних та iнших заходiв, спрямованих на запобiгання, виявлення, припинення та розкриття кримiнальних правопорушень проти миру i безпеки людства, якi вчиняються з використанням кiберпростору, розслiдування, переслiдування, оперативного реагування та протидiї кiберзлочинностi, розвiдувально-пiдривнiй, терористичнiй та iншiй дiяльностi у кiберпросторi, що завдає шкоди iнтересам України, використанню мережi Iнтернет у воєнних цiлях;
(пункт 21 частини третьої статтi 8 iз змiнами, внесеними згiдно iз Законом України вiд 17.06.2020р. N 720-IX) |
22) здiйснення воєнно-полiтичних, вiйськово-технiчних та iнших заходiв для розширення можливостей Воєнної органiзацiї держави, сектору безпеки i оборони з використанням кiберпростору, створення i розвитку сил, засобiв та iнструментiв можливої вiдповiдi на агресiю у кiберпросторi, яка може застосовуватися як засiб стримування воєнних конфлiктiв та загроз з використанням кiберпростору;
23) обмеження участi у заходах iз забезпечення iнформацiйної безпеки та кiбербезпеки будь-яких суб'єктiв господарювання, якi перебувають пiд контролем держави, визнаної Верховною Радою України державою-агресором, або держав та осiб, стосовно яких дiють спецiальнi економiчнi та iншi обмежувальнi заходи (санкцiї), прийнятi на нацiональному або мiжнародному рiвнi внаслiдок агресiї щодо України, а також обмеження використання продукцiї, технологiй та послуг таких суб'єктiв для забезпечення технiчного та криптографiчного захисту державних iнформацiйних ресурсiв, посилення державного контролю в цiй сферi;
24) розвитку системи контррозвiдувального забезпечення кiбербезпеки, призначеної для запобiгання, своєчасного виявлення та протидiї зовнiшнiм i внутрiшнiм загрозам безпецi України з використанням кiберпростору; усунення умов, що їм сприяють, та причин їх виникнення;
25) проведення розвiдувальних заходiв iз виявлення та протидiї загрозам нацiональнiй безпецi України у кiберпросторi, виявлення iнших подiй i обставин, що стосуються сфери кiбербезпеки.
4. Порядок функцiонування Нацiональної телекомунiкацiйної мережi, критерiї, правила та вимоги щодо надання послуг, їх тарифiкацiї для користувачiв бюджетної сфери, вiдшкодування витрат державного бюджету на утримання Нацiональної телекомунiкацiйної мережi затверджуються Кабiнетом Мiнiстрiв України.
5. Впровадження органiзацiйно-технiчної моделi кiбербезпеки як складової нацiональної системи кiбербезпеки здiйснюється Державним центром кiберзахисту, який забезпечує створення та функцiонування основних складових системи захищеного доступу державних органiв до мережi Iнтернет, системи антивiрусного захисту нацiональних iнформацiйних ресурсiв, аудиту iнформацiйної безпеки та стану кiберзахисту об'єктiв критичної iнформацiйної iнфраструктури, системи виявлення вразливостей i реагування на кiберiнциденти та кiбератаки щодо об'єктiв кiберзахисту, системи взаємодiї команд реагування на комп'ютернi надзвичайнi подiї, а також у взаємодiї з iншими суб'єктами забезпечення кiбербезпеки розробляє сценарiї реагування на кiберзагрози, заходи щодо протидiї таким загрозам, програми та методики проведення кiбернавчань.
Стаття 9. Урядова команда реагування на комп'ютернi надзвичайнi подiї України CERT-UA
1. Завданнями CERT-UA є:
1) накопичення та проведення аналiзу даних про кiберiнциденти, ведення державного реєстру кiберiнцидентiв;
2) надання власникам об'єктiв кiберзахисту практичної допомоги з питань запобiгання, виявлення та усунення наслiдкiв кiберiнцидентiв щодо цих об'єктiв;
3) органiзацiя та проведення практичних семiнарiв з питань кiберзахисту для суб'єктiв нацiональної системи кiбербезпеки та власникiв об'єктiв кiберзахисту;
4) пiдготовка та розмiщення на своєму офiцiйному веб-сайтi рекомендацiй щодо протидiї сучасним видам кiбератак та кiберзагроз;
5) взаємодiя з правоохоронними органами, забезпечення їх своєчасного iнформування про кiбератаки;
6) взаємодiя з iноземними та мiжнародними органiзацiями з питань реагування на кiберiнциденти, зокрема в рамках участi у Форумi команд реагування на iнциденти безпеки FIRST iз сплатою щорiчних членських внескiв;
7) взаємодiя з українськими командами реагування на комп'ютернi надзвичайнi подiї, а також iншими пiдприємствами, установами та органiзацiями незалежно вiд форми власностi, якi провадять дiяльнiсть, пов'язану iз забезпеченням безпеки кiберпростору;
8) опрацювання отриманої вiд громадян iнформацiї про кiберiнциденти щодо об'єктiв кiберзахисту;
9) сприяння державним органам, органам мiсцевого самоврядування, вiйськовим формуванням, утвореним вiдповiдно до закону, пiдприємствам, установам та органiзацiям незалежно вiд форми власностi, а також громадянам України у вирiшеннi питань кiберзахисту та протидiї кiберзагрозам.
2. Забезпечення функцiонування CERT-UA здiйснює Державна служба спецiального зв'язку та захисту iнформацiї України у межах штатної чисельностi та видiлених обсягiв фiнансування.
Стаття 10. Державно-приватна взаємодiя у сферi кiбербезпеки
1. Державно-приватна взаємодiя у сферi кiбербезпеки здiйснюється шляхом:
1) створення системи своєчасного виявлення, запобiгання та нейтралiзацiї кiберзагроз, у тому числi iз залученням волонтерських органiзацiй;
2) пiдвищення цифрової грамотностi громадян та культури безпекового поводження в кiберпросторi, комплексних знань, навичок i вмiнь, необхiдних для пiдтримки цiлей кiбербезпеки, реалiзацiї державних i громадських проектiв з пiдвищення рiвня обiзнаностi суспiльства щодо кiберзагроз та кiберзахисту;
3) обмiну iнформацiєю мiж державними органами, приватним сектором i громадянами щодо кiберзагроз об'єктам критичної iнфраструктури, iнших кiберзагроз, кiбератак та кiберiнцидентiв;
4) партнерства та координацiї команд реагування на комп'ютернi надзвичайнi подiї;
5) залучення експертного потенцiалу, наукових установ, професiйних об'єднань та громадських органiзацiй до пiдготовки ключових галузевих проектiв та нормативних документiв у сферi кiбербезпеки;
6) надання консультативної та практичної допомоги з питань реагування на кiбератаки;
7) формування iнiцiатив та створення авторитетних консультацiйних пунктiв для громадян, представникiв промисловостi та бiзнесу з метою забезпечення безпеки в мережi Iнтернет;
8) запровадження механiзму громадського контролю ефективностi заходiв iз забезпечення кiбербезпеки;
9) перiодичного проведення нацiонального самiту з професiйними постачальниками бiзнес-послуг, включаючи страховикiв, аудиторiв, юристiв, визначення їхньої ролi у сприяннi кращому управлiнню ризиками у сферi кiбербезпеки;
10) створення системи пiдготовки кадрiв та пiдвищення компетентностi фахiвцiв рiзних сфер дiяльностi з питань кiбербезпеки;
11) тiсної взаємодiї з фiзичними особами, громадськими та волонтерськими органiзацiями, IТ-компанiями з метою виконання заходiв кiбероборони в кiберпросторi.
2. Державно-приватна взаємодiя у сферi кiбербезпеки застосовується з урахуванням встановлених законодавством особливостей правового режиму щодо окремих об'єктiв та окремих видiв дiяльностi.
Стаття 11. Сприяння суб'єктам забезпечення кiбербезпеки України
Державнi органи та органи мiсцевого самоврядування, їх посадовi особи, пiдприємства, установи та органiзацiї незалежно вiд форми власностi, особи, громадяни та об'єднання громадян зобов'язанi сприяти суб'єктам забезпечення кiбербезпеки, повiдомляти вiдомi їм данi щодо загроз нацiональнiй безпецi з використанням кiберпростору або будь-яких iнших кiберзагроз об'єктам кiбербезпеки, кiбератак та/або обставин, iнформацiя про якi може сприяти запобiганню, виявленню i припиненню таких загроз, протидiї кiберзлочинам, кiбератакам та мiнiмiзацiї їх наслiдкiв.
Стаття 12. Вiдповiдальнiсть за порушення законодавства у сферi кiбербезпеки
Особи, виннi у порушеннi законодавства у сферах нацiональної безпеки, електронних комунiкацiй та захисту iнформацiї, якщо кiберпростiр є мiсцем та/або способом здiйснення кримiнального правопорушення, iншого винного дiяння, вiдповiдальнiсть за яке передбачена цивiльним, адмiнiстративним, кримiнальним законодавством, несуть вiдповiдальнiсть згiдно iз законом.
(стаття 12 iз змiнами, внесеними згiдно iз Законом України вiд 17.06.2020р. N 720-IX) |
Стаття 13. Фiнансове забезпечення заходiв кiбербезпеки
Джерелами фiнансування робiт i заходiв iз забезпечення кiбербезпеки та кiберзахисту є кошти державного i мiсцевих бюджетiв, власнi кошти суб'єктiв господарювання, кредити банкiв, кошти мiжнародної технiчної допомоги та iншi джерела, не забороненi законодавством.
Стаття 14. Мiжнародне спiвробiтництво у сферi кiбербезпеки
1. Україна вiдповiдно до укладених нею мiжнародних договорiв здiйснює спiвробiтництво у сферi кiбербезпеки з iноземними державами, їх правоохоронними органами i спецiальними службами, а також з мiжнародними органiзацiями, якi здiйснюють боротьбу з мiжнародною кiберзлочиннiстю.
2. Україна вiдповiдно до мiжнародних договорiв, згода на обов'язковiсть яких надана Верховною Радою України, може брати участь у спiльних заходах iз забезпечення кiбербезпеки, зокрема у проведеннi спiльних навчань суб'єктiв сектору безпеки i оборони в рамках заходiв колективної оборони з дотриманням вимог законiв України "Про порядок направлення пiдроздiлiв Збройних Сил України до iнших держав" та "Про порядок допуску та умови перебування пiдроздiлiв збройних сил iнших держав на територiї України".
3. Вiдповiдно до законодавства України у сферi зовнiшнiх зносин суб'єкти забезпечення кiбербезпеки у межах своїх повноважень можуть здiйснювати мiжнародну спiвпрацю у сферi кiбербезпеки безпосередньо на двостороннiй або багатостороннiй основi.
4. Iнформацiю з питань, пов'язаних iз боротьбою з мiжнародною кiберзлочиннiстю, Україна надає iноземнiй державi на пiдставi запиту, додержуючись вимог законодавства України та її мiжнародно-правових зобов'язань. Така iнформацiя може бути надана без попереднього запиту iноземної держави, якщо це не перешкоджає проведенню досудового розслiдування чи судового розгляду справи i може сприяти компетентним органам iноземної держави у припиненнi кiбератаки, своєчасному виявленнi i припиненнi кримiнального правопорушення з використанням кiберпростору.
Стаття 15. Контроль за законнiстю заходiв iз забезпечення кiбербезпеки України
1. Контроль за дотриманням законодавства при здiйсненнi заходiв iз забезпечення кiбербезпеки здiйснюється Верховною Радою України в порядку, визначеному Конституцiєю України.
Парламентський контроль за дотриманням законодавства про захист персональних даних та доступ до публiчної iнформацiї у сферi кiбербезпеки здiйснюється Уповноваженим Верховної Ради України з прав людини.
2. Контроль за дiяльнiстю iз забезпечення кiбербезпеки суб'єктiв сектору безпеки i оборони, iнших державних органiв здiйснюється Президентом України та Кабiнетом Мiнiстрiв України в порядку, визначеному Конституцiєю i законами України.
3. Незалежний аудит дiяльностi основних суб'єктiв нацiональної кiбербезпеки, визначених частиною другою статтi 8 цього Закону, щодо ефективностi системи забезпечення кiбербезпеки держави проводиться щороку згiдно з мiжнародними стандартами аудиту.
Звiти про результати проведення незалежного аудиту дiяльностi основних суб'єктiв нацiональної кiбербезпеки, визначених частиною другою статтi 8 цього Закону, щодо ефективностi системи забезпечення кiбербезпеки держави за попереднiй рiк подаються Президентовi України, Верховнiй Радi України та Кабiнету Мiнiстрiв України у сорокап'ятиденний строк пiсля закiнчення календарного року.
Комiтет Верховної Ради України, до предмета вiдання якого належать питання нацiональної безпеки i оборони, та Комiтет Верховної Ради України, до предмета вiдання якого належать питання iнформатизацiї та зв'язку, на своїх засiданнях розглядають звiти основних суб'єктiв нацiональної кiбербезпеки, визначених частиною другою статтi 8 цього Закону, про результати незалежного аудиту їхньої дiяльностi щодо ефективностi системи забезпечення кiбербезпеки держави.
Основнi суб'єкти нацiональної кiбербезпеки, визначенi частиною другою статтi 8 цього Закону, подають один раз на рiк звiти про стан виконання ними заходiв з питань забезпечення кiбербезпеки держави, вiднесених до їх компетенцiї, якi мають мiстити, зокрема, iнформацiю про результати проведення незалежного аудиту їхньої дiяльностi.
За результатами розгляду звiтiв основних суб'єктiв нацiональної кiбербезпеки Комiтет Верховної Ради України, до предмета вiдання якого належать питання iнформатизацiї та зв'язку, може порушити питання про розгляд цих питань Верховною Радою України.
ПРИКIНЦЕВI ТА ПЕРЕХIДНI ПОЛОЖЕННЯ
1. Цей Закон набирає чинностi через шiсть мiсяцiв з дня його опублiкування.
2. Внести змiни до таких законiв України:
1) статтю 7 Закону України "Про Нацiональний банк України" (Вiдомостi Верховної Ради України, 1999 р., N 29, ст. 238 iз наступними змiнами) доповнити пунктами 32 i 33 такого змiсту:
"32) визначає порядок, вимоги та заходи iз забезпечення кiберзахисту та iнформацiйної безпеки у банкiвськiй системi України та для суб'єктiв переказу коштiв, здiйснює контроль за їх виконанням; утворює центр кiберзахисту Нацiонального банку України, забезпечує функцiонування системи кiберзахисту у банкiвськiй системi України;
33) забезпечує формування та ведення перелiку об'єктiв критичної iнфраструктури, а також реєстру об'єктiв критичної iнформацiйної iнфраструктури у банкiвськiй системi України, визначає критерiї та порядок вiднесення об'єктiв у банкiвськiй системi України до об'єктiв критичної iнфраструктури та об'єктiв критичної iнформацiйної iнфраструктури, забезпечує проведення оцiнювання стану кiберзахисту та аудиту iнформацiйної безпеки у банкiвськiй системi України";
2) у Законi України "Про оборону України" (Вiдомостi Верховної Ради України, 2000 р., N 49, ст. 420; 2011 р., N 4, ст. 27; 2015 р., N 16, ст. 110; 2016 р., N 33, ст. 564):
а) статтю 3 пiсля абзацу дев'ятнадцятого доповнити новим абзацом такого змiсту:
"здiйснення заходiв з кiбероборони (активного кiберзахисту) для захисту суверенiтету держави та забезпечення її обороноздатностi, запобiгання збройному конфлiкту та вiдсiчi збройнiй агресiї".
У зв'язку з цим абзац двадцятий вважати абзацом двадцять першим;
б) друге речення частини другої статтi 4 доповнити словами "у тому числi проведення спецiальних операцiй (розвiдувальних, iнформацiйно-психологiчних тощо) у кiберпросторi";
3) пiдпункт 3 пункту 2 роздiлу втратив чиннiсть
(у зв'язку з втратою чинностi Законом України вiд 22.03.2001р. N 2331-III згiдно iз Законом України вiд 17.09.2020р. N 912-IX) |
4) пiдпункт 4 пункту 2 роздiлу втратив чиннiсть
(у зв'язку з втратою чинностi Законом України вiд 19.06.2003р. N 964-IV згiдно iз Законом України вiд 21.06.2018р. N 2469-VIII) |
5) абзац шостий статтi 3 Закону України "Про Службу зовнiшньої розвiдки України" (Вiдомостi Верховної Ради України, 2006 р., N 8, ст. 94) пiсля слiв "нацiональнiй безпецi України" доповнити словами "у тому числi у кiберпросторi";
6) у Законi України "Про Державну службу спецiального зв'язку та захисту iнформацiї України" (Вiдомостi Верховної Ради України, 2014 р., N 25, ст. 890, N 29, ст. 946):
а) частину першу статтi 2 та абзац другий частини першої статтi 3 пiсля слiв "криптографiчного та технiчного захисту iнформацiї" доповнити словом "кiберзахисту";
б) у частинi першiй статтi 14:
пункт 39 пiсля слiв "забезпечення функцiонування" доповнити словом "урядової";
доповнити пунктами 85 - 92 такого змiсту:
"85) формування та реалiзацiя державної полiтики щодо захисту у кiберпросторi державних iнформацiйних ресурсiв та iнформацiї, вимога щодо захисту якої встановлена законом, кiберзахисту критичної iнформацiйної iнфраструктури, здiйснення державного контролю у цих сферах;
86) координацiя дiяльностi суб'єктiв забезпечення кiбербезпеки щодо кiберзахисту;
87) забезпечення створення та функцiонування Нацiональної телекомунiкацiйної мережi;
88) впровадження органiзацiйно-технiчної моделi кiберзахисту, здiйснення органiзацiйно-технiчних заходiв iз запобiгання, виявлення та реагування на кiберiнциденти i кiбератаки та усунення їх наслiдкiв;
89) iнформування про кiберзагрози та вiдповiднi методи захисту вiд них;
90) забезпечення впровадження системи аудиту iнформацiйної безпеки на об'єктах критичної iнфраструктури, встановлення вимог до аудиторiв iнформацiйної безпеки, їх атестацiї (переатестацiї);
91) координацiя, органiзацiя та проведення аудиту захищеностi комунiкацiйних i технологiчних систем об'єктiв критичної iнфраструктури на вразливiсть;
92) забезпечення функцiонування Державного центру кiберзахисту".
3. Кабiнету Мiнiстрiв України у тримiсячний строк з дня набрання чинностi цим Законом:
забезпечити прийняття нормативно-правових актiв, необхiдних для реалiзацiї цього Закону;
привести свої нормативно-правовi акти у вiдповiднiсть iз цим Законом;
забезпечити перегляд i скасування мiнiстерствами та iншими центральними органами виконавчої влади їх нормативно-правових актiв, що суперечать цьому Закону.
Президент України | П. ПОРОШЕНКО |
м. Київ
5 жовтня 2017 року
N 2163-VIII