Першому Віце-прем’єр-міністру України –
Міністру економічного розвитку і торгівлі України
Кубіву С.І.
вул. М. Грушевського, буд. 12/2, м. Київ, 01008
Копія: Державна регуляторна служба України
вул. Арсенальна, 9/11, м. Київ, 01001
Вих. № 120
від 03 серпня 2018 р.
Зауваження та пропозиції до проекту Закону
«Про критичну інфраструктуру та її захист»
Шановний Степане Івановичу!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 200 підприємств сфери ІКТ, засвідчує Вам свою повагу та звертається з приводу наступного.
20 липня 2018 року на офіційному веб-сайті Міністерства економічного розвитку і торгівлі України http://www.me.gov.ua/ у розділі «Документи» підрозділ «Обговорення проектів документів» оприлюднено проект Закону України «Про критичну інфраструктуру та її захист» (далі – проект Закону), який розроблено на виконання Указу Президента України від 16.01.2017 №8/2017 «Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про удосконалення заходів забезпечення захисту об’єктів критичної інфраструктури» та метою якого є створення умов для формування та ефективної реалізації державної політики у сфері захисту критичної інфраструктури.
Здійснивши аналіз, надаємо зауваження та пропозиції до окремих статей проекту Закону та пропонуємо звернути увагу на наступне.
1. У проекті Закону застосовується вираз «життєво важливі національні інтереси». Проте, у статті 1 проекту Закону надано визначення термінів «життєво важливі послуги», «життєво важливі функції» та відсутнє визначення терміну «життєво важливі національні інтереси». У Законі України «Про національну безпеку» та інших законодавчих актах визначення цього терміну також не надано.
Зазначене ускладнить однозначне застосування закону, у разі його прийняття, зокрема, для однакового та правильного застосування термінів «критична інфраструктура», «об’єкт критичної інфраструктури».
Пропозиція: У проекті Закону надати визначення терміну «життєво важливі національні інтереси».
2. У розділі ІІІ проекту Закону пропонуються статті, якими встановлюються повноваження суб’єктів державної системи захисту критичної інфраструктури.
Так, статтею 17 проекту Закону пропонується встановити, зокрема, такі повноваження Служби безпеки України (далі – СБУ) у сфері захисту критичної інфраструктури:
- бере участь у перевірці інвестицій та походження капіталу, що спрямовується на фінансування критичної інфраструктури, на предмет дотримання їх операторами інтересів національної безпеки держави;
- вживає заходів з попередження та протидії актам несанкціонованого втручання в діяльність об’єктів критичної інфраструктури, фінансування критичної інфраструктури не в інтересах національної безпеки;
- отримує у визначеному законом порядку доступ до автоматизованих інформаційних і довідкових систем, реєстрів банків даних, держателем (адміністратором) яких є органи державної влади, оператори об’єктів критичної інфраструктури;
- бере участь в обмеженні та блокуванні доступу до об’єктів та ресурсів, які використовуються для організації, підготовки, вчинення, фінансування, сприяння або приховування акту несанкціонованого втручання в діяльність критичної інфраструктури, а також в інших передбачених законами України випадках у порядку, встановленому законодавством;
- проводить перевірку угод на постачання товарів, робіт і послуг на об’єкти критичної інфраструктури та персоналу компаній-підрядників на предмет завдання шкоди національній безпеці України.
Проте, на нашу думку, не має необхідності у встановленні додаткових повноважень для СБУ у сфері захисту критичної інфраструктури.
До повноважень Верховної Ради України належить визначення функцій СБУ (абз. 22 статті 85 Конституції України).
Служба безпеки України, відповідно до статей 1,2 Закону України «Про Службу безпеки України» є державним органом спеціального призначення з правоохоронними функціями, який забезпечує державну безпеку України. На Службу безпеки України покладається у межах визначеної законодавством компетенції захист державного суверенітету, конституційного ладу, територіальної цілісності, економічного, науково-технічного оборонного потенціалу України, законних інтересів держави та прав громадян від розвідувально - підривної діяльності іноземних спеціальних служб, посягань з боку окремих організацій, груп та осіб, а також забезпечення охорони державної таємниці. До завдань Служби безпеки України також входить попередження, виявлення, припинення та розкриття злочинів проти миру і безпеки людства, тероризму, корупції та організованої злочинної діяльності у сфері управління і економіки та інших протиправних дій, які безпосередньо створюють загрозу життєво важливим інтересам України.
На сьогодні, для реалізації цих завдань та відповідно до законодавства, СБУ має такі повноваження:
- стаття 25 Закону України «Про Службу безпеки України»: 1) для отримання даних та відомостей, необхідних для забезпечення державної безпеки України, а також, для користування з цією метою службовою документацією та звітністю направляти відповідний письмовий запит керівника; 2) входити у порядку, погодженому з адміністрацією підприємств та організацій і командуванням військових частин, на їх територію і в службові приміщення; 3) проводити гласні і негласні оперативні заходи у порядку, визначеному Законом України «Про оперативно-розшукову діяльність»; тощо. Також, у разі проведення заходів щодо боротьби з тероризмом і фінансуванням терористичної діяльності та відповідно до пункту 1 частини другої статті 25 Закону України «Про Службу безпеки України» СБУ має право направляти письмову вимогу керівника відповідного органу або оперативного підрозділу СБУ для отримання інформації і документів, завірених копій документів.
- стаття 7 Закону України «Про контррозвідувальну діяльність»: у межах ведення контррозвідувальної справи, для попередження і припинення розвідувальних, терористичних та інших протиправних посягань на державну безпеку України, СБУ має право витребувати, збирати і вивчати документи та відомості, що характеризують діяльність підприємств, установ, організацій, а також спосіб життя окремих осіб, джерела і розміри їх доходів, інше;
- стаття 8 Закону України «Про оперативно - розшукову діяльність»: в межах ведення оперативно - розшукової справи співробітники СБУ мають право ознайомлюватись з документами та даними, що характеризують діяльність підприємств, установ та організацій, вивчати їх тощо.
Відповідно до абз. 12, 16 частини першої статті 17 проекту Закону розробник проекту Закону вже пропонує надати СБУ додаткові повноваження у сфері захисту національної безпеки, як-то: подання органам державної влади, органам місцевого самоврядування, підприємствам, установам, організаціям усіх форм власності обов'язкові для розгляду пропозиції з питань захисту критичної інфраструктури, та обов’язкових до виконання запитів про діяльність об’єктів критичної інфраструктури, …; знайомитись в органах державної влади, органах місцевого самоврядування, в операторів об’єктів критичної інфраструктури із документами та іншими матеріальними носіями інформації, необхідними для попередження, виявлення та недопущення актів несанкціонованого втручання в діяльність об’єктів критичної інфраструктури, у тому числі такими, що містять інформацію з обмеженим доступом, тощо. Крім цього, змінами до частини першої статті 10, частини першої статті 15, частини першої статті 24 Закону України «Про Службу безпеки України», які пропонуються у Прикінцевих та перехідних положеннях проекту Закону, співробітникам СБУ буде надано право здійснювати контррозвідувальний захист критичної інфраструктури.
Відтак, і на сьогодні, відповідно до вищеназваних законодавчих актів СБУ має широкі повноваження задля вчинення заходів, направлених на недопущення, швидке реагування та припинення правопорушень у сфері забезпечення національної безпеки, проведення контррозвідувальних та оперативно - розшукових заходів та виконання повноважень, встановлених у статтях 1, 2 Закону України «Про Службу безпеки України». А, функція СБУ щодо контррозвідувального захисту критичної інфраструктури має здійснюватися у виключній відповідності із контррозвідувальними заходами, визначеними Законом України «Про контррозвідувальну діяльність».
Пропозиція щодо розширення повноважень СБУ шляхом надання права втручання в діяльність органів державної влади, органів місцевого самоврядування, підприємств, установ, організацій усіх форм власності, в т.ч. надавати обов’язкові до виконання вимоги щодо дотримання законодавства (абз. 12 частини першої статті 17 проекту Закону), які не визначені Законом України «Про Службу безпеки України», вважаємо, суперечать абз. 22 статті 85 Конституції України.
За визначенням терміну, даного у статті 1 Закону України «Про основні засади забезпечення кібербезпеки України», кіберпезпека – це стан захищеності життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечується сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізації реальних і потенційних загроз національній безпеці України у кіберпросторі. Відтак, перелік об’єктів критичної інфраструктури складається саме для забезпечення кібербезпеки на цих життєво важливих об’єктах. Наразі, частина повноважень, викладена у статті 17 проекту Закону, ймовірно, направлена саме на забезпечення національної безпеки, складовою якої є інформаційна безпека, проте, ці повноваження СБУ, на наш погляд, не знаходяться і тісному взаємозв’язку саме з забезпеченням кібербезпеки у розумінні законодавчого визначення цього терміну.
Таким чином, розробник проекту Закону, пропонуючи розширити перелік повноважень СБУ, які, на сьогодні відсутні, не встановлює форми, порядки, процедури, у межах яких, співробітники СБУ матимуть право виконувати вищенаведені дії. Тобто, яким саме чином будуть виконувати окремі заходи: шляхом направлення відповідного запиту (вимоги), у ході проведення перевірки тощо. З переліку повноважень та зі змісту статті 17 проекту Закону також не зрозуміло, яке пряме відношення мають окремі запропоновані повноваження СБУ саме до захисту кіберпростору. До прикладу, проектом Закону пропонується наділити співробітників СБУ повноваженнями участі в перевірці інвестицій та походження капіталу (абз. 4 частини першої статті 17), а, відповідно до абз. 5 частини першої статті 17 проекту Закону СБУ може мати право вживати заходів з попередження та протидії фінансування критичної інфраструктури не в інтересах національної безпеки. Проте, на сьогодні, саме на Державну службу фінансового моніторингу України покладено завдання з реалізації державної політики у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму тощо. Відтак, у разі прийняття закону у запропонованій редакції зазначених абзаців статті 17, матиме місце подвійний контроль за фінансовими операціями окремих суб’єктів господарювання (тих, що віднесені до об’єктів критичної інфраструктури), а саме, з боку Держфінмоніторингу та СБУ.
Для реалізації СБУ повноважень, визначених у абз. 6 та 8 частини першої статті 17 проекту Закону, відсутні будь-які законодавчі підстави, оскільки, відповідно до абз.5 статті 92 Конституції України виключно законами України визначаються, зокрема, засади організації та експлуатації зв’язку. На сьогодні, законами України не встановлюється право жодної державної установи, організації, в т.ч. і СБУ, а також порядки та процедури їх доступу до автоматизованих інформаційних і довідкових систем, реєстрів баз банків даних, держателем (адміністратором) яких є суб’єкти господарювання та, які, потенційно, можуть бути визнані операторами об’єктів критичної інфраструктури; процедур та порядків обмеження та блокування доступу до об’єктів та ресурсів тощо. Крім цього, положення, викладене у абз. 8 частини першої статті 17 проекту Закону не узгоджується із принципами діяльності у сфері телекомунікацій, закладеними у статті 6 Закону України «Про телекомунікації», за якими державою гарантується доступ споживачів до загальнодоступних телекомунікаційних послуг, які необхідні їм для задоволення власних потреб, участі в політичному, економічному та громадському житті.
Звертаємо увагу, що будь-які спроби впровадження законодавчих новацій обмеження та блокування доступу споживачів до мережі Інтернет без відповідного рішення суду на такі дії, по-перше, порушує принципи, закладені у статті 1 Конституції України, відповідно до якої Україна визнає себе правовою державою та у статті 31 Конституції України, яка гарантує громадянам таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції. По-друге, запровадження таких новацій може створити контрольоване владі та СБУ управління телекомунікаційною галуззю.
Також, зі змісту статті 17 проекту Закону залишається незрозумілим, який саме вплив на забезпечення кібербезпеки буде мати перевірка співробітниками СБУ усіх угод на постачання товарів, робіт і послуг на об’єкти критичної інфраструктури та персоналу компаній - підрядників (абз.9 частини першої статті 17 проекту Закону). Відтак, у вказаному положенні проекту Закону потрібно вказати, які це саме угоди (предмет), а також розробити та затвердити процедуру проведення таких перевірок, або зазначене положення виключити із проекту Закону, як таке, що не узгоджується із статтею 25 Закону України «Про Службу безпеки України».
Також, вважаємо, що проект Закону не враховує практики Європейського Суду з прав людини щодо якості законів. Зокрема, в рішенні Справи «Вєренцов проти України» зазначено, що «будь-які обмеження, що накладаються, мають базуватися на положеннях основного законодавства. Саме законодавство має бути сформульованим з достатньою чіткістю, щоб надати особі можливість визначити, чи буде її поведінка суперечити закону, та якими можуть бути вірогідні наслідки порушень. Передбачення у національному законодавстві чітких визначень є істотною умовою для того, щоб закон залишався нескладним для розуміння та застосування, а також для запобігання спробам регулювати діяльність, яка не підлягає регулюванню», оскільки положення, викладені у абз. 4 та, частково, абз. 5, абз.6, 8 частини першої статті 17 проекту Закону потребують додаткового уточнення. Зокрема, не зрозуміло, що саме розробник вклав у поняття «перевірка інвестицій та надходження капіталу», «завдання шкоди національній безпеці» «дотримання оператором інтересів національної безпеки», «фінансування критичної інфраструктури не в інтересах національної безпеки». Тобто, як саме такі дії виконуватимуться правоохоронним органом, чіткі правила і межі, які суб’єкт господарювання не повинен порушувати, адже, якщо правоохоронним органом виявляються певні правопорушення, то має слідувати негайне реагування на їх припинення. Тому зазначені вирази вважаємо некоректними та незрозумілими, з огляду на законодавчі та нормативні приписи. Тобто, необхідно чітко встановити, якими саме мають бути дії об’єкта критичної інфраструктури та якими законодавчими та нормативно - правовими актами слід керуватись аби забезпечити безумовне виконання положень закону, у разі його прийняття, задля забезпечення кібербезпеки. Натомість, фактично, у статті 17 пропонується лише безмежне розширення повноважень правоохоронного органу.
Також, на наш погляд, може бути створено правову колізію між абз. 3 частини другої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України», статтею 17 закону, у разі прийняття, у яких закріплені повноваження СБУ у сфері забезпечення кібербезпеки та статтею 25 Закону України «Про Службу безпеки України».
Враховуючи те, що реалізація правоохоронним органом окремих повноважень, які розробником запропоновано у статті 17 проекту Закону, може призвести до порушення прав і свобод, законних інтересів громадян та суб’єктів господарювання, пропонуємо виключити із тексту проекту Закону абз. 4 та, частково абз. 5, абз. 6, 8, частково абз.12 частини першої статті 17, якими розробник пропонує наділити СБУ повноваженнями, які не відповідають меті Закону, а також окремим положенням Закону «Про основні засади забезпечення кібербезпеки України», Закону України «Про Службу безпеки України» та, на нашу думку, можуть призвести до різного трактування у правозастосуванні.
3. На нашу думку потребують доопрацювання і наступні положення статті 31 проекту Закону:
- абз. 8 частини першої статті 31 проекту Закону, зі змісту якого одним із завдань операторів критичної інфраструктури визначається участь у заходах з захисту повітряного простору над визначеними об’єктами критичної інфраструктури. Очевидно, розробник проекту Закону розуміє участь у виконанні цього заходу окремими суб’єктами господарювання, але, про це не зазначено і норма, у разі прийняття закону, матиме загальний характер;
- у абз. 11 частини першої статті 31 проекту Закону «численні інші послуги» привести у відповідність до положень нормотворчої техніки, а саме, виписати вичерпно чітко та зрозуміло, які саме послуги слід застосовувати у даному законі, у разі його прийняття;
- абз. 12 частини першої статті 31 проекту Закону, який передбачає, що основним завданням операторів критичної інфраструктури є створення необхідних резервів фінансових та матеріальних ресурсів для реагування на кризові ситуації та ліквідації їх наслідків. Проте, на сьогодні, для суб’єктів господарювання такий обов’язок ведення господарської діяльності не встановлений. Відтак, потребує уточнення та чіткості зазначене положення, а саме, в частині, відносно того, про які саме фінансові та матеріальні ресурси операторів критичної інфраструктури йде мова, їх обсяг кількість тощо;
- у абз. 4 частини третьої статті 31 проекту Закону зазначається, що оператори критичної інфраструктури зобов’язані виконувати у встановлені терміни запити (вимоги) щодо надання інформації про об’єкти критичної інфраструктури. Проте, у положеннях проекту Закону не встановлюються ні строки відповіді операторів критичної інфраструктури на такі запити (вимоги), ні обсяг питань, які можуть бути поставлені, а також не встановлено, хто саме може направляти такі запити (вимоги). Відтак, зазначене положення проекту Закону потрібно доопрацювати.
Отже, статтю 31 проекту Закону необхідно доопрацювати з урахуванням вказаних зауважень.
4. Звертаємо увагу й на те, що відповідно до п.п.5 п.2 частини першої Рішення РНБОУ від 29.12.2016, введеного в дію Указом Президента України від 16.01.2017 № 8/2017, проект Закону має передбачати врегулювання питань, зокрема, щодо запровадження єдиної методології проведення оцінки загроз критичній інфраструктурі та реагування на них, зокрема щодо аварій і технічних збоїв, небезпечних природних явищ, зловмисних дій. Проте, на наш погляд, зазначена вимога, у проекті Закону не врахована та не розкрита.
При розгляді проекту Закону, просимо врахувати і те, що в Угоді про коаліцію депутатських фракцій «Європейська Україна» підписаній 27.11.2014, Стратегії сталого розвитку «Україна 2020», Програмі діяльності Кабінету Міністрів України, пріоритетними напрямками впровадження політики дерегуляції є скорочення кількості регуляторних і контрольних органів, забезпечення усунення дублювання функцій між органами державного нагляду та контролю, відмова від системи тотального обтяжливого контролю за всіма суб’єктами господарської діяльності, скорочення кількості контролюючих органів та підвищення рівня захисту прав власності, забезпечення протягом одного року зміни існуючої системи регулювання підприємницької діяльності на європейську тощо.
Нагадуємо й про те, що у своїй передвиборній програмі «Жити по-новому!» кандидата на пост Президента України Петра Порошенка на сайті ЦВК: http://www.cvk.gov.ua/pls/vp2014/WP009?PT021F01=134&PT001F01=702 передбачались «забезпечення гарантій малому підприємництву; зняти «корупційний податок» на економіку. Соціально відповідальний бізнес має платити податки до бюджету, а не хабарі окремим чиновникам. Кількість податків слід скоротити, ставки – зменшити, всі офшори – перекрити».
Проектом Закону вже передбачається для об’єктів критичної інфраструктури ряд новацій у веденні бізнесу та пов’язаних з додатковим отриманням документів, а саме, паспортизація об’єктів критичної інфраструктури, аудит інформаційної безпеки на об’єктах критичної інфраструктури, аудит захищеності комунікаційних і технологічних систем, систем управління технологічними процесами, що функціонують на об’єктах критичної інфраструктури, вимоги до планування заходів щодо захисту критичної інфраструктури, включаючи аварійні плани, плани реагування на кризові ситуації, плани відновлення об’єктів критичної інфраструктури, плани проведення навчань і тренувань тощо. Відтак, контроль за виконанням законодавства у сфері забезпечення кібербезпеки та притягнення до відповідальності винних осіб за його порушення може наставати лише у випадках, пов’язаних із таким додатковим навантаженням на суб’єктів господарювання, і, аж ніяким чином, не за рахунок розширення існуючих повноважень правоохоронних органів.
З повагою
Голова правління Інтернет Асоціації України О. Федієнко