Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Вих. № 129
від 11.11.2025
Щодо відмови в погодженні проєкту
наказу Адміністрації Держспецзв’язку
Шановний Олексію Володимировичу!
Інтернет Асоціація України (ІнАУ) висловлює Вам свою повагу та звертається з наступного приводу.
3 вересня 2025 року Державною службою спеціального зв'язку та захисту інформації України (далі – Держспецзв’язку) на офіційній сторінці в мережі Інтернет https://cip.gov.ua/ опубліковано проєкт наказу Адміністрації Держспецзв’язку «Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури» (далі – проєкт наказу).
ІнАУ, листом від 02.10.2025 № 120 в установлений термін надала свої пропозиції до проєкту наказу. Крім цього, з урахуванням обговорень проєкту наказу, які відбувались, у т.ч. за участі представників Держспецзв’язку, листом від 28.10.2025 № 125 ІнАУ було надано додаткові пропозиції до проєкту наказу. Інформація про розгляд чи врахування цих пропозицій в ІнАУ відсутня.
Натомість, нам стало відомо, що Держспецзв’язку подано проєкт наказу на погодження до ДРС України.
Разом з цим, вважаємо, що проєкт наказу потребує суттєвого доопрацювання, що обґрунтовуємо наступним.
1. Нормативно-правовий акт повинен бути чітким і зрозумілим для забезпечення його належного застосування та виконання, що досягається, у т.ч. шляхом дотримання вимог до його змісту. Чіткість і зрозумілість гарантують, що правові норми будуть однаково трактуватися та виконуватися суб'єктами правовідносин, запобігаючи неоднозначності та правовій невизначеності.
Разом з цим, вважаємо, що положення проєкту наказу є нечіткими, наслідком чого буде їх довільне трактування та застосування відповідними посадовцями на власний розсуд, що створює ризики зловживань і корупції та спотворює бізнес-клімат в Україні (див. обґрунтування у листі ІнАУ від 02.10.2025 № 120 та від 28.10.2025 № 125). Крім цього, додатки до проєкту наказу сформовано окремо, хоча це доречно було б зробити в одному документі, що забезпечувало б логічність та послідовність положень.
2. Додатки до проєкту наказу є нечіткими та неповними, оскільки не містять навіть орієнтовного переліку товарів, робіт і послуг, що потребуватимуть застосування цього наказу. Вважаємо, що складення переліків орієнтуватиме постачальників та власників/розпорядників на точне, зрозуміле та послідовне розуміння вимог наказу та забезпечуватиме його чітке та однозначне виконання (детальне обґрунтування див. у листі ІнАУ від 28.10.2025 № 125).
3. І, основне, на що просимо звернути увагу – це ймовірність настання негативних наслідків на забезпечення товарами, роботами та послугами власників або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури та на діяльність суб'єктів, що постачають товари, виконують роботи чи надають послуги вказаним категоріям, а також на ймовірність штучно створеного дефіциту на вказаних ринках.
Зокрема, запропонована у проєкті наказу реалізація вимоги щодо авторизації з безпеки та наявності інформаційно-комунікаційної системи постачальника у переліку авторизованих систем з безпеки для усіх постачальників (фізичні та юридичні особи, які підпадають під регулювання цим наказом) може мати негативні наслідки. По-перше, не кожна юридична, а тим більше фізична особа здійснюватиме авторизацію систем безпеки, оскільки, як мінімум, це не потрібно невеликим за обсягами постачання фізичним та юридичним особам. Відтак, ринок постачання товарів, робіт і послуг значно зменшиться, і не виключаємо, що у якихось невеликих населених пунктах взагалі зникне. Тобто, така вимога може мати негативний наслідок на ринок постачання товарів, робіт і послуг власникам/розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури. І, особливо, це може мати небезпечно негативні наслідки саме на забезпечення стабільної діяльності об’єктів критичної інформаційної інфраструктури. По-друге, виникає сумнів у тому, що кожен постачальник (фізична чи юридична особа) зможуть виконати вимоги постанови Кабінету Міністрів України від 18 червня 2025 р. № 712, з огляду на положення пунктів 1, 5 Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, згідно з якими суб’єктами авторизації з безпеки системи визначено власників або розпорядників системи, галузеві уповноважені органи; Адміністрацію Держспецзв’язку, а не постачальників (юридичну, а тим більше фізичну особу) товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
4. При розгляді проєкту наказу також просимо звернути увагу і на наступне.
Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» принципами державної регуляторної політики є, зокрема, адекватність – відповідність форм та рівня державного регулювання господарських відносин потребі у вирішенні існуючої проблеми та ринковим вимогам з урахуванням усіх прийнятних альтернатив; ефективність – забезпечення досягнення внаслідок дії регуляторного акта максимально можливих позитивних результатів за рахунок мінімально необхідних витрат ресурсів суб’єктів господарювання, громадян та держави; передбачуваність – послідовність регуляторної діяльності, відповідність її цілям державної політики, а також планам з підготовки проєктів регуляторних актів, що дозволяє суб’єктам господарювання здійснювати планування їхньої діяльності.
Вважаємо, що у положеннях запропонованої редакції проєкту наказу недотримано саме цих принципів державної регуляторної політики, як-то: адекватність, ефективність та передбачуваність.
З огляду на зазначене, просимо винести рішення про відмову в погодженні проєкту наказу та запропонувати доопрацювання розробником положень проєкту наказу.
Про результати розгляду цього листа просимо повідомити письмово.
Додаток: копії листів ІнАУ від 02.10.2025 № 120 та від 28.10.2025 № 125.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК