Уявіть: одного ранку ви не можете увійти до системи вашої компанії, всі дані зашифровані, а на екрані блимає вимога викупу. На жаль, це реальність кібервійни, в яку втягнена Україна. Тож новий закон про кібербезпеку в Україні має на меті підвищити стійкість країни до кіберзагроз та встановити правила для бізнесу та звичайних користувачів, щоб кожен міг знати, як захиститися та діяти в разі атаки. Давайте розберемося, яка ситуація наразі в Україні, які можливості є, які впроваджуються та як це вплине на нас.
Сучасні виклики для держави та суспільства
У період 2023–2025 років Україна зіштовхнулася з безпрецедентним зростанням кіберзагроз, які охопили як державний, так і приватний сектори. Основною тенденцією стало збільшення кількості цілеспрямованих атак типу APT (Advanced Persistent Threat), доволі складних, тривалих і майже непомітних проникнень у критичні системи з метою збору розвідданих, викрадення чутливої інформації або ж підготовки масштабних деструктивних операцій. Особливо вразливою виявилася критична інфраструктура: енергетика, транспорт, медична галузь і фінансовий сектор стали привабливими цілями для кіберзлочинців.
Ті кібератаки чітко підкреслили, що кібербезпека в Україні перетворилася на критично важливий компонент національної безпеки, що потребує негайного реагування, належного регулювання та комплексного захисту як державного сектору, так і звичайних громадян.
Зміни в законодавстві України про кібербезпеку
Ключовим документом, що заклав фундамент для формування системи національної кібербезпеки, є Закон «Про основні засади забезпечення кібербезпеки України», чинний із 2018 року. Проте, в умовах нової кіберреальності, викликаної зростанням загроз, постала потреба в його суттєвому оновленні.
У березні 2025 року Президент України підписав Закон № 4336-IX «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури», ухвалений Верховною Радою у другому читанні 27 березня. Ці зміни закріплюють нові підходи до захисту критичних об’єктів, вдосконалюють механізми реагування на інциденти та визначають чіткі зобов’язання для суб’єктів кібербезпеки.
Ключові законодавчі оновлення у сфері цифрової безпеки
1. Єдина система захисту державної інформації замість розрізнених норм
Раніше захист державної інформації регулювали кілька розрізнених законів. Через такі прогалини кіберзлочинці отримували можливість легше проникати в державні системи, викрадаючи або змінюючи інформацію.
Закон 2025 року впровадив єдину класифікацію інформаційних ресурсів, що пов’язано з чітким визначенням рівнів кіберзахисту: від відкритої інформації до критичної, що вимагає максимальної кібербезпеки.
Новий закон значно розширює визначення об’єктів критичної інформаційної інфраструктури (КІІ). Тепер до них належать не лише державні системи, але й інформаційні системи приватних компаній у стратегічно важливих галузях: енергетиці, фінансах, транспорті, телекомунікаціях, охороні здоров’я та водопостачанні.
Для звичайного бізнесу це означає, що якщо ваша компанія працює в одній із цих галузей, вам необхідно перевірити, чи не підпадаєте ви під критерії об’єкта КІІ (Критичної інформаційної інфраструктури – ред.). Якщо так, то на таку компанію також поширюються додаткові вимоги щодо кібербезпеки.
2. Впровадження чіткої системи реагування на кіберінциденти
До 2025 року в Україні не існувало єдиної, централізованої та скоординованої системи реагування на кіберінциденти.
Зараз у нас починає впроваджуватися нова національна система реагування на кіберінциденти. Ця система організована як багаторівнева структура, в якій чітко розмежовані ролі та обов’язки між різними учасниками: державними органами, приватними підприємствами, які управляють об’єктами критичної інформаційної інфраструктури, та спеціалізованими командами реагування, такими як CSIRT і CERT. Система передбачає встановлення офіційних каналів комунікації для швидкого обміну інформацією про виявлені інциденти, загрози і шляхи їхнього усунення.
Відтепер існує єдиний координаційний центр – Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України (РНБО), який здійснює стратегічний нагляд, формує політику і координує дії національних і локальних команд реагування. Практично це означає, що якщо відбувається кібератака на державний чи приватний об’єкт критичної інфраструктури, інформація про неї миттєво потрапляє до координаційного центру, який оперативно оцінює ситуацію, залучає необхідні служби і контролює перебіг подій.
Наприклад, у разі атаки на енергетичний оператор або банк, відповідна CSIRT команда разом з кіберполіцією і СБУ мають злагоджено реагувати, щоб мінімізувати шкоду, заблокувати атаки і розпочати розслідування. Такий підхід дозволяє значно скоротити час реакції, тобто від годин або днів, що були раніше, до хвилин або кількох годин.
Крім того, закон закріплює обов’язок для операторів критичної інфраструктури мати власні сертифіковані команди реагування, що підвищує рівень захищеності і дозволяє виявляти загрози на ранніх стадіях. Впроваджується регулярне навчання персоналу, тренування з кіберінцидентів та обмін кращими практиками між різними організаціями. Усі ці нововведення формують зрілішу, системну і ефективну національну систему кібербезпеки.
3. Уніфікований обмін інформацією про кіберінциденти
Раніше в Україні система обміну інформацією про кіберінциденти була фрагментованою і неузгодженою. Тепер закон чітко визначає перелік кіберінцидентів, які підлягають обов’язковому реєструванню. Це, наприклад, атаки на інформаційні системи критичної інфраструктури, спроби несанкціонованого доступу або розповсюдження шкідливого ПЗ. Крім того, визначено строки повідомлення: виявлені інциденти треба фіксувати і передавати інформацію протягом 24 годин, що дозволяє зменшити час реакції.
Тобто, якщо ваша організація зазнала кібератаки, ви зобов’язані повідомити про це CERT-UA протягом 24 годин. Це стосується всіх організацій, що належать до об’єктів критичної інфраструктури, а також державних установ.
4. Відмова від застарілої системи КСЗІ
Раніше захист державних інформаційних систем базувався на системі комплексного захисту інформації (КСЗІ).
Прийнятий в 2025 році Закон радикально змінює підхід: він відмовляється від обов’язкового застосування КСЗІ і переходить до управління ризиками на основі профілів безпеки. Це означає, що кожна інформаційна система оцінюється за власними ризиками, тобто які загрози є найбільш імовірними, які слабкі місця існують, які наслідки може мати інцидент тощо.
На основі цієї оцінки формуються індивідуальні профілі безпеки, які визначають конкретні заходи захисту. До прикладу, для системи, що обробляє критичні дані оборони, профіль безпеки передбачатиме багаторівневу аутентифікацію, жорстке шифрування, моніторинг мережевого трафіку в режимі 24/7. Для менш критичних систем достатньо буде базового рівня захисту.
5. Запровадження системи оцінювання стану кіберзахисту
Раніше контроль за виконанням вимог кібербезпеки здійснювався переважно через формальні перевірки державними структурами, зокрема Держспецзв’язку.
Тепер же в Україні запроваджується механізм самостійного або незалежного оцінювання рівня кіберзахисту, орієнтований не на формальність, а на реальні ризики. Організації можуть залучати зовнішніх аудиторів або проводити внутрішні аудити з використанням затверджених методик. Методика передбачає перевірку відповідності заходів профілю ризиків, ефективності впроваджених технічних і організаційних заходів, здатності системи виявляти, реагувати та відновлюватися після інцидентів.
Раніше достатньо було паперово підтвердити, що створена резервна копія даних, наразі ж, потрібно довести, що копія оновлюється регулярно, шифрується, зберігається поза основною системою і дійсно працює при відновленні. Тобто оцінюється не просто наявність документу про роботу системи, а реальна функціональність процесу.
Ще одна важлива зміна – відмова від моделі надмірного державного контролю. Закон не вимагає погодження всіх заходів безпеки з регулятором і не встановлює централізовану схему затверджень. Це знижує навантаження на державні та приватні структури, а також спрощує впровадження інновацій, зокрема – використання хмарних сервісів, сучасних СІЕМ-систем (наприклад, Splunk або QRadar), засобів багатофакторної автентифікації тощо.
Оцінювання здійснюється з урахуванням типу системи: наприклад, для об’єктів критичної інфраструктури передбачено глибший рівень перевірки, включаючи симуляцію атак (penetration testing) та аналіз журналів доступу. Для менш критичних – достатньо базових технічних звітів.
Ключовий принцип нової моделі – «оцінюй і покращуй», а не «відзвітуй і забудь». Це стимулює постійне вдосконалення практик захисту. При цьому держава зберігає за собою право нагляду, але у формі вибіркових перевірок, переважно після інцидентів або за зверненням.
Таким чином, новий підхід аудиту є не каральним інструментом, а інструментом розвитку кіберзахисту. Підприємства отримують зворотний зв’язок, що саме варто поліпшити, і можуть робити це без очікування зовнішнього втручання. Така система дозволяє об’єктивніше оцінювати рівень готовності до атак і своєчасно усувати критичні вразливості.
