Президент Шавкат Мирзиёев подписал закон «О кибербезопасности». Проект закона не был размещён на портале обсуждения проектов нормативно-правовых актов.

В законе установлено, что Служба государственной безопасности является уполномоченным органом в сфере кибербезопасности. Она будет проводить оперативно-розыскные мероприятия, доследственные проверки и следственные действия по инцидентам кибербезопасности, т. е. сбоям в работе информационных систем и (или) нарушениям доступности информации в них, целостности и её свободного использования.

Дано определение критической информационной инфраструктуры: это комплекс автоматизированных систем управления, информационных систем и ресурсов сетей и технологических процессов, имеющих важное стратегическое и социально-экономическое значение.

Объектами критической информационной инфраструктуры (ОКИИ) признаны системы информатизации в сфере госуправления и оказания госуслуг, обороны, государственной безопасности, правопорядка, топливно-энергетического комплекса (атомной энергетики), химической, нефтехимической отраслях, металлургии, водопользования и водоснабжения, сельского хозяйства, здравоохранения, жилищно-коммунального обслуживания, банковско-финансовой системы, транспорта, информационно-коммуникационных технологий, экологии и охраны окружающей среды, добычи и переработки полезных ископаемых стратегического значения, производственной сфере и других отраслях экономики и социальной сфере.

Законом предусмотрены три категории объектов: высокого, среднего и низкого уровня. Критерии отнесения к уровням будут определены уполномоченным органом — СГБ.

Субъекты этой инфраструктуры — государственные органы и организации, а также юридические лица, владеющие объектами критической информационной инфраструктуры на правах собственности, аренды или на других законных основаниях, в том числе юридические лица и (или) индивидуальные предприниматели, обеспечивающие эксплуатацию и взаимодействие объектов критической информационной инфраструктуры.

СГБ будет формировать единый реестр объектов критической информационной инфраструктуры, определять требования к безопасности объектов ОКИИ, вести организацию сертификации аппаратных, аппаратно-программных и программных средств в информационных системах и ресурсах, лицензировать деятельность по разработке, производству и реализации средств криптографической защиты информации, готовить кадры. На регулятора возложены и многие другие функции.

Регулятор в области кибербезопасности имеет право посещать госорганы и иные организации, знакомиться с необходимыми документами и материалами, а также запрашивать и получать от организаций и граждан сведения и другие необходимые документы и материалы, проводить их идентификацию и использовать в следственных действиях по инцидентам кибербезопасности.

Закон также гарантирует СГБ беспрепятственный доступ и подключение в установленном порядке к информационным системам и ресурсам государственных органов и организаций, объектов критической информационной инфраструктуры.

Регулятору дано право входить беспрепятственно, при необходимости с повреждением запирающих устройств, в жилые помещения и иные объекты физических и юридических лиц, при преследовании лиц, подозреваемых в совершении преступлений в сфере информационных технологий, с последующим сообщением об этом прокурору в течение двадцати четырёх часов, а также с возмещением причинённого вреда.

Госорганы обязаны обеспечивать кибербезопасность своих информационных систем и ресурсов и предупреждать СГБ о кибератаках. Также госорганы должны использовать сертифицированные аппаратные, аппаратно-программные и программные средства для киберзащиты.

Закон установил приоритет отечественных производителей: при покупке товаров, работ и услуг, необходимых для обеспечения кибербезопасности органов государственного и хозяйственного управления, хокимиятов, товары, работы и услуги, произведённые в Узбекистане, пользуются приоритетом по отношению к зарубежной продукции.

Информация о выявленных в информационных системах киберугрозах и кибератаках может быть раскрыта с разрешения субъекта кибербезопасности после принятия мер по их защите.

В статье 5 подчёркивается принцип законности: всякое отступление от точного исполнения и соблюдения требований законодательства, какими бы мотивами оно ни было вызвано, является нарушением законности и влечёт за собой установленную ответственность.

Уголовный кодекс и Кодекс об административной ответственности пока не дополнены нормами по правонарушениями в области кибербезопасности.

Закон вступит в силу с 15 июля.