С одной стороны Закон представляет собой собрание новой терминологии, связанной с деятельностью в киберпространстве, а также общих принципов его правового регулирования. C другой стороны, в него включен ряд неоднозначных положений, которые могут затронуть деятельность целого сегмента бизнеса. В частности, речь идет о так называемых объектах критической инфраструктуры. Согласно установленным в Законе критериям, к таким объектам относятся, в том числе, частные компании, которые осуществляют деятельность и предоставляют услуги в сфере информационно-коммуникационных технологий, электронных коммуникаций, занимаются производством продуктов питания, являются объектами потенциально небезопасных технологий и пр. Согласитесь, определение довольно туманное и позволяет классифицировать по данным критериям значительное число предприятий.
С момента вступления Закона в силу, к таким компаниям будут установлены дополнительные требования по вопросам киберзащиты, а также в отношении них будет проводиться новый тип проверок в виде независимого аудита информационной безопасности. И хотя требования к такого рода аудиту еще только предстоит разработать Кабинету Министров, тем не менее, собственники и руководители компаний уже сейчас весьма небезосновательно испытывают тревогу в связи подобными новшествами. Новые требования могут обернуться для бизнеса значительными финансовыми расходами, а также целой волной проверок, которые еще недавно ставили под угрозу развитие IT-индустрии в Украине. То есть при отсутствии надлежащего контроля новый механизм инспектирования может стать новым инструментом давления на бизнес.
Основания для опасений подкрепляются отдельными полномочиями контролирующих органов, закрепленными в Законе. К примеру, Служба безопасности Украины будет наделена правом проводить негласные проверки готовности объектов критической инфраструктуры к возможным кибератакам и киберинцидентам. То есть после вступления в силу Закона «Об основных принципах обеспечения кибербезопасности Украины» СБУ сможет на вполне законных основаниях нарушать функционирование информационных систем предприятий, получать доступ к их информационным ресурсам и т.п. Наличие подобных полномочий может стать весьма серьезным искушением для злоупотреблений или даже одним из способов устранения конкурентов на рынке.
Вероятно, с целью недопущения подобных нарушений законодатель включил в данный нормативный акт целый ряд принципов, которыми должны руководствоваться субъекты властных полномочий при принятии тех или иных решений. В частности, при исполнении нового Закона должны соблюдаться принципы минимально необходимого регулирования, невмешательства в частную жизнь и защиты персональных данных, сбалансированности ответственности, а также недискириминации.
Как эти принципы будут применяться на практике – увидим в следующем году. Учитывая общий характер положений Закона «Об основных принципах обеспечения кибербезопасности Украины» он должен стать отправной точкой в формировании государственной политики по защите национальных интересов Украины в киберпространстве. А значит, главные нововведения еще впереди.