Кто обязан создавать подразделение по киберзащите, а кому достаточно ответственного лица

Закон четко различает два субъекта.

Первый — органы государственной власти. Если орган является собственником или распорядителем информационно-коммуникационных систем, в которых обрабатываются государственные информационные ресурсы, служебная информация или информация, составляющая государственную тайну, то он обязан и создать подразделение по киберзащите, и назначить руководителя по киберзащите, которому это подразделение непосредственно подчиняется. В органах местного самоуправления назначается лицо, выполняющее функции и задачи руководителя по киберзащите.

Второй субъект — владельцы или распорядители объектов критической информационной инфраструктуры. Здесь закон устанавливает только одно однозначное требование: назначить ответственное лицо, выполняющее функции и задачи руководителя по киберзащите. Подразделение, в случае необходимости, с целью обеспечения выполнения требований по киберзащите.

Почему же это важно на практике. Для частного бизнеса, даже для тех, кто является владельцем ОКИ, — норма закона не требует отдельной штатной структуры. Она требует функцию и ответственное лицо. Объем штатных решений — это управленческий выбор собственника, а не прямое требование закона.

Прежде чем формировать штатное расписание или тратить бюджет на полноценную службу, стоит четко ответить на вопрос — «мы орган государственной власти или мы владелец/распорядитель ОКИ?». От этого зависит, что будет обязанностью, а что — рекомендацией.

↳ Часть 1 статьи 5¹ Закона «Об основных принципах обеспечения кибербезопасности Украины» в редакции Закона № 4336-IX.

⟵ Это публикация-дополнение к основной статье «Закон 4336-IX: что меняется для госучреждений и критической инфраструктуры и как к этому готовиться бизнесу».