Законопроєкт №89 пропонує додати до Закону України «Про інформацію» нову статтю 19², де вводиться поняття «технологічна цифрова інформація» та окреслюються рамки її захисту в системах об'єктів критичної інфраструктури. Мета— створити єдину правову основу для обліку та захисту чутливих цифрових даних, які обробляються у технологічних системах (налаштування, параметри процесів, командні сигнали, аварійні повідомлення). Законопроєкт також наголошує, що правовий режим такої інформації визначається законами та міжнародними договорами, та що дані за режимом доступу належать до інформації з обмеженим доступом та захищаються законом. Вперше закріплюється формальна прив’язка саме до об’єктів критичної інфраструктури.
У практичному сенсі це означає, що нинішня відсутність чіткого законодавчого визначення для «технологічної цифрової інформації» буде компенсована: з одного боку — простіше координувати захист такої інформації, з іншого — може з’явитися обов’язкова вимога до суб’єктів господарювання з боку держорганів щодо забезпечення відповідних стандартів безпеки та доступу до інформації у випадку перевірок або реагування на загрози.
Для пересічного громадянина зміни прямо не торкаються персональних даних у повсякденному житті, але у випадках використання критичної інфраструктури (енергетика, водо-, транспортне постачання, телеком) підвищується загальна надійність та стійкість сервісів. Для бізнесу, зокрема для операторів об’єктів критичної інфраструктури та підрядників, законопроєкт може означати вимоги до захисту та управління технологічною цифровою інформацією, включаючи відповідність стандартам та можливо додаткові витрати на технічне забезпечення та навчання персоналу.
- Вигоди для громадян: підвищення стійкості та надійності критичної інфраструктури, зменшення ризиків від технічних збоїв та кібератаки, що опосередковано підвищує якість життя.
- Втрати або обмеження для громадян: можливе зростання витрат бізнесу на захист інформації, які рано чи пізно можуть бути відображені в цінах або сервісних збірниках.
- Вплив на МСП та велику бізнес-екосистему: для операторів ІКІ потреба у впровадженні або вдосконаленні систем захисту, аудитів та навчання персоналу; у краткостроковій перспективі — додаткові витрати та менеджмент відповідності, у довгостроковій — вища кіберстійкість та можливість участі у глобальних постачальницьких ланцюгах з підвищеними вимогами безпеки.
- Ризики корупції та зловживань: існує потенційний ризик неправомірного доступу або неправомірного трактування режиму «обмежений доступ» при перевірках або закупівлях, тому потрібен прозорий алгоритм контролю та публічні регуляторні процедури.
- Прямі та непрямі витрати: прямі — можлива потреба у технічній модернізації, навчанні та документації; непрямі — зміни в договорах, порядок доступу до інформації та взаємодія з держорганами при інцидентах.
- підвищення зовнішнього та внутрішнього контролю за чутливими даними в технологічних системах, посилення відповідності міжнародним стандартам, поліпшення ситуації з управління ризиками у сфері критичної інфраструктури.
- Кого зачіпає: операторів та власників об’єктів критичної інфраструктури, органи держконтролю, підрядників та постачальників технологій управління процесами.
- Коли і як набереться чинності: норма набирає чинності з дня, наступного за публікацією закону; уряд має у місячний строк привести свої акти у відповідність та забезпечити такий перехід для міністерств та ЦОВВ.
У фіналі пояснювальної записки підкреслюється, що зміни не потребують законних корекцій у інших законах, крім додавання статті 19², та що фінансова потреба відсутня. Також наголошується, що регуляторні наслідки та вплив на регуляторний баланс оцінюються як незапотребуючі нових бюджетних витрат.
Однозначно, цей крок збільшує правову чіткість щодо того, які дані розглядаються як «технологічна цифрова інформація» саме в контексті критичної інфраструктури, і створює рамку для захисту таких даних. Проте, без прозорого регуляторного дизайну та плану виконання можливі непередбачені витрати на відповідність та певна юридична невизначеність для бізнесу під час переходу.
Що робити зараз? оцініть свої поточні контракти, пов’язані з технологічними системами, обговоріть з юридичним та IT-підрозділами вашої компанії можливі вимоги до захисту та доступу до інформації, зберіть запитання до майбутніх регуляторних вимог та підготуйте план поступового підвищення кібербезпеки та відповідності.