Законопроєкт "Про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури" було зареєстровано у вересні 2022 року, він пройшов перше читання у січні. Законодавці завершили роботу над поправками, профільний комітет рекомендував ухвалити закон у другому читанні й у цілому.
Після початку повномасштабного вторгнення кількість загроз національній безпеці у кіберпросторі постійно зростає, зазначили автори законопроєкту. За рік Україна зазнала понад 3 тис. DDoS-атак, "постійно розповсюджується шкідливе програмне забезпечення, здійснюються фішингові розсилки", ідеться у пояснювальній записці.
Щоб упоратися із цими загрозами, депутати вирішили значно розширити повноваження Державної служби спеціального зв'язку та захисту інформації (Держспецзв'язок) та покласти на неї обов'язки щодо контролю за дотриманням вимог законодавства у сфері технічного захисту інформації та кіберзахисту, щодо стандартизації, створенню національної системи реагування на інциденти кібербезпеки, кібератаки, а також національної системи обміну інформацією про інциденти кібербезпеки та інші. Отже, законодавець дає Держспецзв'язку значні повноваження для доступу до інформаційних систем українських підприємств та організацій – до серверів, обладнання та інформації компаній.
Національне агентство з питань запобігання корупції (НАЗК) побоюється, що таке розширення повноважень може сприяти зловживанням та корупції. В антикорупційній експертизі, підписаній главою НАЗК Олександром Новіковим, зазначено, що проєкт закону потребує "суттєвого доопрацювання". Серед чинників ризику експерти виокремили широкі можливості для Держспецзв'язку діяти на власний розсуд у сфері технічного захисту інформації та кіберзахисту, оскільки закон не містить чіткого визначення підстав та ситуацій, до яких можуть залучати співробітників національної системи кібербезпеки.
Ще одним чинником ризику, на думку НАЗК, є нечітка регламентація прав. У документі немає чіткого визначення процедури надання дозволу на проведення тестування та здобуття доступу до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, а також критичної та інформаційної інфраструктури. Також незрозуміло, хто саме, окрім співробітників основних суб'єктів гарантування кібербезпеки України, дістане повноваження для реалізації спеціальних заходів.
Проєкт закону дає Держспецзв'язку право призначати "офіцера з кіберзахисту" в органах державної влади та на підприємствах критичної інфраструктури, встановлювати їхні функції та повноваження. У НАЗК вважають, що надання повноважень призначати таких фахівців та одночасно погоджувати такі призначення, передбачені у законопроєкті, створюють умови для корупційних зловживань. Тому НАЗК рекомендувало авторам доопрацювати законопроєкт перед розглядом у другому читанні.
Зауваження до законопроєкту №8087 висловили в Міністерстві оборони України. 28 квітня начальник Генерального штабу Збройних сил України Сергій Шаптала передав у Верховну Раду лист, у якому звернув увагу на недоопрацювання документа.
Зокрема в цьому документі, який знаходиться у розпорядженні редакції, Шаптала зазначив, що законопроєкт "обмежує можливості підрозділів ЗСУ в захисті інформації" та "впровадженні технологічних рішень із захисту інформації в інтересах оборони". Оскільки Держспецзв'язку здобуде одночасно повноваження з державного контролю у сфері криптографічного, технічного захисту інформації та кіберзахисту і з визначення стандартів, то виникають ризики, пов'язані з поєднанням в одному органі таких функцій.
У МОУ вважають, що законодавець необґрунтовано поставив в один ряд вимоги щодо кіберзахисту цивільних та військових об'єктів.
"Для використання в інформаційно-комунікаційних системах дозволено лише ті програмні та апаратні засоби захисту інформації та програмне забезпечення, які відповідають вимогам Держспецзв'язку і мають позитивний експертний висновок за результатами державної експертизи у порядку, встановленому Держспецзв'язку, що унеможливлює швидке впровадження систем захисту інформації з урахуванням особливих (спеціальних) умов експлуатації, у яких цінність інформації залежить суттєво від часових показників (обмін інформацією під час ведення бою) та захищених засобів засекреченого зв'язку, які вже мають відповідні сертифікати країн ЄС. Положення законопроєкту ставлять в один ряд вимоги до суб'єктів сфери оборони та цивільних відомств, без урахування особливостей функціонування Збройних сил України. Водночас для сфери оборони критично важливою є самостійність у питаннях контролю технічного захисту та кіберзахисту", – підкреслив Шаптала.
Він запропонував надати можливість Міністерству оборони України самостійно встановлювати вимоги та визначати порядок погодження офіцерів із захисту інформації, а також передбачити право Міноборони на встановлення правил захисту інформації та поводження з інформацією у сфері оборони.