Transformation of the regulatory and legal framework for cybersecurity in ukraine: analysis of compliance with the requirements of the NIS2 directive and the cybersecurity act

Abstract

Topicality. Ukraine's national security is critically dependent on its cyber resilience due to Russia's hybrid aggression targeting critical infrastructure. The country's status as an EU candidate requires urgent harmonisation of its cybersecurity policy with the acquis (NIS2 Directive, Cybersecurity Act) while integrating lessons from real-time cyber warfare. The subject of study is the evolution of Ukraine's state cybersecurity policy, its institutional architecture, and the regulatory alignment with the EU framework. The purpose of this article is to analyse the complex policy transformation – from reactive aggression response to proactive Euro-integration – and to develop a comprehensive Roadmap for regulatory and organisational improvement to enhance national cyber resilience. Results. Russian aggression is confirmed as the leading catalyst for legislative evolution (Law of 2017) and the institutional shift towards resilience (post-2022). A comparative analysis revealed low harmonisation in cybersecurity certification (Cybersecurity Act) and collective defence (Cyber Solidarity Act). Systemic problems identified include personnel deficit, institutional friction (DSSSZI/SBU), and the absence of a unified TIS platform. The proposed Roadmap prioritises NIS2 implementation, certification reform, and institutionalising cyber solidarity. Conclusion. Despite its robust foundations, Ukraine's cybersecurity system faces significant challenges due to resource deficits and coordination gaps. Successful Euro-integration and counteraction to threats require complex reforms, focusing on regulatory alignment and enhancing collective cyber resilience as detailed in the Roadmap. Актуальність. Національна безпека України критично залежить від її кіберстійкості через гібридну агресію Росії, спрямовану на критичну інфраструктуру. Статус кандидата в ЄС вимагає невідкладної гармонізації політики кібербезпеки з правовими надбаннями ЄС (директива NIS2, Закон про кібербезпеку) із врахуванням уроків сучасної кібервійни. Предмет дослідження. Еволюція державної політики кібербезпеки України, її інституційна архітектура та регуляторна узгодженість із європейською правовою рамкою. Мета статті. Проаналізувати складну трансформацію політики – від реактивного реагування на агресію до проактивної євроінтеграції – та розробити комплексну Дорожню карту нормативного та організаційного вдосконалення для підвищення національної кіберстійкості. Результати. Російська агресія підтверджена як головний каталізатор еволюції законодавства (Закон 2017 року) та інституційного переходу до кіберстійкості (після 2022 року). Порівняльний аналіз виявив низький рівень гармонізації у сфері сертифікації (Cybersecurity Act) та колективного захисту (Cyber Solidarity Act). Виявлені системні проблеми включають дефіцит кадрів, інституційну фрикцію (ДССЗЗІ/СБУ) та відсутність єдиної платформи TIS. Запропонована Дорожня карта пріоритезує імплементацію NIS2, реформу сертифікації та інституціалізацію механізмів кіберсолідарності. Висновок. Незважаючи на міцну законодавчу та інституційну базу, система кібербезпеки України стикається із серйозними викликами через дефіцит ресурсів та прогалини в координації. Успішна євроінтеграція та протидія загрозам потребують комплексних реформ із фокусом на регуляторне узгодження та підвищення колективної кіберстійкості, що деталізовано в Дорожній карті.