Голові Комітету Верховної Ради України
з питань цифрової трансформації
КРЯЧКУ М.В.
Голові Комітету Верховної Ради України з питань
організації державної влади, місцевого самоврядування,
регіонального розвитку та містобудування
КЛОЧКУ А.А.
Голові Комітету Верховної Ради України з питань
національної безпеки, оборони та розвідки
ЗАВІТНЕВИЧУ О.М.
Голові Комітету Верховної Ради України
з питань правової політики
МАСЛОВУ Д.В.
Голові Комітету Верховної Ради України
з питань бюджету
АРІСТОВУ Ю.Ю.
Голові Комітету Верховної Ради України
з питань антикорупційної політики
РАДІНІЙ А.О.
Вих. № 06/1-6
від 01.02.2023
Щодо проекту Закону (№ 8238 від 28.11.2022)
Інтернет Асоціація України (ІнАУ), яка об’єднує понад 230 підприємств галузі інформаційно-комунікаційних технологій, висловлюємо Вам свою повагу та звертаємося з приводу наступного.
28 листопада 2022 року у Верховній Раді України за № 8238 зареєстровано проект Закону про внесення змін до Закону України «Про електронні комунікації» (щодо вимог при наданні електронних комунікаційних послуг органам державної влади, органам місцевого самоврядування, державним організаціям (установам, закладам) та на об’єкти критичної інфраструктури) (далі – проект Закону), ініціаторами якого є народні депутати України Федієнко О.П., Струневич В.О. та інші.
Листом від 01.12.2022 № 111/1-7 ІнАУ вже надавала зауваження та пропозиції до проекту Закону.
Разом з цим, з урахуванням наради, яка відбулась 24.01.2023 в Комітеті Верховної Ради України з питань цифрової трансформації за участі керівників асоціацій у сфері електронних комунікацій, додатково надаємо зауваження та пропозиції до тексту проекту Закону, які просимо розглянути та врахувати.
1. Статтю 2 Закону України «Про електронні комунікації» (далі – Закон) пропонуємо доповнити новим пунктом 34¹, в якому надати визначення терміну:
«34¹) зміна ІР-адрес – процес зміни цифрових ідентифікаторів, які використовуються для адресації комп’ютерів чи пристроїв у мережі Інтернет;».
Цей термін пропонується надалі застосовувати в тексті проекту Закону.
2. В тексті проекту Закону вже застосовується термін «передача (трансфер) ІР-адреси», проте його визначення не надано. Тому, статтю 2 Закону пропонуємо доповнити новим пунктом 113¹, в якому надати визначення терміну:
«113¹) передача (трансфер) ІР-адреси – процес зміни володільця IP-адреси з урахуванням правил та процедур, встановлених RIPE NCC;».
3. Оскільки, процедура розподілу IP-адрес регулюється не національним законодавством, а документами RIPE NCC, пропонуємо відповідне уточнення терміну:
«113²) розподіл IP-адрес – процес розподілу адресного простору мережі Інтернет з метою його подальшого присвоєння будь-якій юридичній чи фізичній особі для подальшого використання в мережі Інтернет з урахуванням правил та процедур, встановлених RIPE;».
4. Запропоновану редакцію пункту 5 частини першої статті 6 Закону пропонуємо змінити та викласти у редакції:
«5) розроблення за погодженням з регуляторним органом правил надання та отримання електронних комунікаційних послуг, в тому числі, за потреби, встановлення особливих умов надання електронних комунікаційних послуг органам державної влади, державним підприємствам, державним організаціям (установам, закладам) та на об’єкти критичної інфраструктури І та ІІ категорії критичності, порядку виплати компенсації за рахунок державних коштів збитків, понесених внаслідок виконання зобов’язання з розгортання електронних комунікаційних мереж для надання доступу до універсальних електронних комунікаційних послуг на визначених територіях;».
Таку пропозицію обґрунтовуємо наступним:
- вважаємо недоцільним поширювати новації у наданні ЕКП для органів місцевого самоврядування, оскільки, насправді, наявна кількість постачальників ЕКП, які мають статус LIR, неспроможна задовольнити попит. Відтак, наслідком запропонованих новацій може бути те, що зазначена категорія може залишитись без ЕКП;
- натомість, до переліку пропонується включити державні підприємства. Зокрема, на деяких з них оброблюється важлива інформація. До прикладу, ДП «Національні інформаційні системи» засноване Міністерством юстиції України та основною метою діяльності якого є технічне, технологічне забезпечення створення та супроводження програмного забезпечення ведення автоматизованих систем Єдиних та Державних реєстрів, що створюються відповідно до наказів Мін’юсту, а також інших електронних баз даних, що створюються відповідно до законодавства України, надання доступу фізичним та юридичним особам до автоматизованих систем Єдиних та Державних реєстрів, забезпечення збереження та захисту даних, що містяться в автоматизованих системах Єдиних та Державних реєстрів. Проте, таке підприємство не підпадає під сферу дії у редакції, запропонованій у проекті Закону;
- пропонується уточнити, що закон поширюватиметься лише щодо надання ЕКП державним організаціям (установам, закладам), щоб під дію закону не підпали установи, заклади, зокрема, школи, лікарні комунальної власності;
- пропонується уточнити, що закон поширюватиметься не на всі об’єкти критичної інфраструктури, а лише об’єкти критичної інфраструктури І та ІІ категорії критичності. Поширення дії закону на операторів критичної інфраструктури III та IV категорії (з незначними наслідками негативного впливу), які зазвичай є малими і мікропідприємствами, вважаємо недоцільним. Знову ж таки, наявність діючих постачальників зі статусом LIR нездатна забезпечити ЕКП усіх, запропонованих у проекті Закону, категорій кінцевих користувачів. Тому, пропонується поширювати дію Закону щодо найвагоміших та найважливіших в межах держави суб’єктів.
5. Пункт 15, яким пропонується доповнити частину третю статті 18 Закону, виключити.
На наше переконання, лише одиниці державних користувачів та операторів критичної інфраструктури при отриманні ЕКП дійсно потребують сталої публічної IP-адреси. Це ті користувачі, що мають власні дата-центри та сервери, до яких під’єднуються інші користувачі. Наприклад, хостінг веб-сайтів, серверів збору інформації, звітів, банківських трансферів. Більшість державних користувачів та операторів критичної інфраструктури таких ресурсів не мають, отже, не мають потреби в постійній публічній IP-адресі. Ба більше, наявність публічної IP-адреси робить цього клієнта значно більш легкою та цікавою ціллю для ворожих кібератак. Тому, вимога щодо надання та заборони зміни такої адреси там, де вона технічно не є абсолютно необхідною, – це послаблення кіберзахисту держави.
Додатково, необхідність виключення запропонованих у проекті Закону пропозицій змінити пункт 15 частини третьої статті 18 Закону мотивуємо також інформацією, викладеною у листі ІнАУ від 01.12.2022 № 111/1-7 (див. у додатку).
6. Статтю 74 Закону пропонуємо доповнити новою частиною дев’ятою такого змісту:
«9. Державні установи та оператори критичної інфраструктури І та ІІ категорії критичності, яким для виконання власних завдань в мережі Інтернет технологічно потрібна наявність сталих публічних IP-адрес, мають використовувати для цього власний діапазон IP-адрес, власну автономну систему мережі Інтернет, та не менш як два фізично незалежні канали доступу до мережі Інтернет».
Зазначене положення, на наше переконання, матиме більше спроможності забезпечити досягнення мети, якої ініціатори мають намір досягнути у положеннях проекту Закону – кіберзахист органів державної влади та інших категорій користувачів ЕКП.
7. Враховуючи, що пропонується змінити перелік користувачів ЕКП, для яких пропонується встановити особливі умови надання ЕКП, то назву проекту Закону пропонуємо викласти у редакції:
«Проект Закону України «Про внесення змін до Закону України «Про електронні комунікації» (щодо вимог при наданні електронних комунікаційних послуг органам державної влади, державним підприємствам, державним організаціям (установам, закладам) та на об’єкти критичної інфраструктури І та ІІ категорії критичності».».
8. Як нами зазначалось у листі від 01.12.2022 № 111/1-7 з посиланням на список LIR, які пропонують послуги в Україні www.ripe.net/membership/indices/UA.html, то, станом на 01.12.2022 було 322 організації, частина з яких включена до українського Реєстру операторів електронних комунікацій. Крім того, з положень проекту Закону слідує, що з дати набрання чинності законом, тобто з дня, наступного за днем його опублікування, органам державної влади, державним підприємствам, державним організаціям (установам, закладам), та на об’єкти критичної інфраструктури І та ІІ категорії критичності ЕКП зможуть надавати лише постачальники ЕКП, які відповідатимуть вимогам закону. Зазначене може мати наслідком, що значна частина таких абонентів взагалі залишиться без послуг доступу до Інтернету, що є неприпустимим в цілому, а, тим більше, в умовах дії правового режиму воєнного стану.
Відтак, пропонується встановити певний підготовчий період для виконання запропонованих новацій. З огляду на зазначене, частину другу проекту Закону викласти у редакції:
«2. Цей Закон набирає чинності з 1 січня 2024 року.».
Додаток:
З повагою
Голова Правління Інтернет Асоціації України Олександр САВЧУК