Голові Державної служби спеціального
зв'язку та захисту інформації України
ПОТІЮ О.В.
Вих. № 120
від 02.10.2025
Щодо пропозицій до проєкту наказу
Адміністрації Держспецзв’язку
Шановний Олександре Володимировичу!
3 вересня 2025 року Державною службою спеціального зв'язку та захисту інформації України на офіційній сторінці в мережі Інтернет за адресою: https://cip.gov.ua/ опубліковано проєкт наказу Адміністрації Держспецзв’язку «Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури» (далі – проєкт наказу) та зазначено, що зауваження та пропозиції можна подати протягом місяця з дати його оприлюднення.
В установлений термін надаємо пропозиції до проєкту наказу.
Як зазначено, проєкт наказу розроблено, в т.ч. на виконання підпунктів 2.9, 2.10 пункту 2 Плану організації підготовки проєктів актів та виконання інших завдань, необхідних для реалізації Закону України «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури», відповідно до пункту 96 частини першої статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» та з метою встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
Проєктом наказу запропоновано затвердити Критерії критичності товарів, робіт, послуг, що постачаються власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі – проєкт Критеріїв). Насправді, проєкт цього документу не містить чітких критеріїв критичності, а містить загальну інформацію щодо поділу товарів, робіт і послуг, що не стосуються і що безпосередньо стосуються участі інформаційно-комунікаційної системи постачальника в обробці державних інформаційних ресурсів або службової інформації та інформації, що становить державну таємницю. При цьому у цих Критеріях під терміном «постачальник» розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем. Проте незрозуміло, про які саме товари, роботи і послуги йдеться у проєкті Критеріїв і, взагалі, чому у проєкті цих Критеріїв згадуються товари, роботи і послуги, що не стосуються участі інформаційно-комунікаційної системи постачальника в обробці державних інформаційних ресурсів або службової інформації та інформації, що становить державну таємницю. Адже критерії критичності товарів, робіт, послуг, відповідно до пункту 96 частини першої статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» повинні розроблятись лише і виключно для встановлення вимог щодо запровадження заходів безпеки до постачальників товарів, робіт, послуг лише у разі, якщо товари, роботи, послуги, які вони постачають, забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
Додатком до проєкту наказу також є Порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику (далі – проєкт Порядку), в якому поділ рівнів ризиків, пов’язаних з критеріями критичності постачання товарів, робіт, послуг власникам або розпорядникам систем для забезпечення їх функціонування та заходів безпеки, також сформовано нечітко. Крім цього, проєкт Порядку сформовано таким чином, що, насправді, не містить самого порядку визначення рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику, оскільки у проєкті документу є лише декілька загальних положень та запропоновано встановити 4 рівні ризиків.
Нормативно-правовий акт повинен бути чітким і зрозумілим для забезпечення його належного застосування та виконання, що досягається, у т.ч. шляхом дотримання вимог до його змісту. Чіткість і зрозумілість гарантують, що правові норми будуть однаково трактуватися та виконуватися суб'єктами правовідносин, запобігаючи неоднозначності та правовій невизначеності.
Таким чином вважаємо, що положення проєкту Критеріїв та проєкту Порядку є нечіткими, наслідком чого буде їх довільне трактування та застосування відповідними посадовцями на власний розсуд, що створює ризики зловживань і корупції та спотворює бізнес-клімат в Україні.
З огляду на зазначене, просимо врахувати пропозиції до проєкту наказу та доопрацювати проєкт Критеріїв та проєкт Порядку.
Про результати розгляду поданих пропозицій просимо повідомити письмово.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК