Т.в.о. Міністра юстиції України
СУГАК Л.П.
Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Вих. № 135/1-2
від 11.12.2025
Щодо проєкту наказуАдміністрації Держспецзв’язку
Інтернет Асоціація України (ІнАУ) висловлює Вам свою повагу та звертається з наступного приводу.
3 вересня 2025 року Державною службою спеціального зв'язку та захисту інформації України (далі – Держспецзв’язку) на офіційній сторінці в мережі Інтернет https://cip.gov.ua/ опубліковано проєкт наказу Адміністрації Держспецзв’язку «Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури» (далі – проєкт наказу).
Листом від 02.10.2025 № 120 ІнАУ надала свої пропозиції до проєкту наказу. Крім цього, з урахуванням обговорень проєкту наказу, які відбувались, у т.ч. за участі представників Держспецзв’язку, листом від 28.10.2025 № 125 ІнАУ було надано додаткові пропозиції до проєкту наказу. Інформація про результати розгляду чи врахування цих пропозицій в установлений термін не надходила до ІнАУ.
Далі проєкт наказу розробником було передано на погодження до ДРС України. Тому листом від 11.11.2025 № 129 ІнАУ звернулась до ДРС України з вмотивованим проханням не погоджувати проєкт наказу.
Держспецзв’язку, у відповідь на звернення ІнАУ від 02.10.2025 № 120, від 28.10.2025 № 125 та від 11.11.2025 № 129, надісланих ДРС України щодо зауважень та пропозицій до проєкту наказу, зокрема, зазначає, що листи із пропозиціями до проєкту наказу були надіслані ІнАУ поза встановленого строку громадських обговорень, тому не опрацьовувалися. Але ж, пропозиції від ІнАУ листом від 28.10.2025 № 125 надано на пропозицію Держспецзв’язку в рамках онлайн-нарад з представниками громадськості. Відтак, вважаємо ці додаткові пропозиції до проєкту наказу, надані ІнАУ листом від 28.10.2025 № 125, повинні бути опрацьовані розробником проєкту нормативно-правового акту.
Таким чином, вважаємо, що проєкт наказу потребує суттєвого доопрацювання Держспецзв’язку, у т.ч. з метою однакового його застосування суб’єктами, на регулювання діяльності яких положення майбутнього наказу будуть направлені. Зокрема:
Нормативно-правовий акт повинен бути чітким і зрозумілим для забезпечення його належного застосування та виконання, що досягається, у т.ч. шляхом дотримання вимог до його змісту. Чіткість і зрозумілість гарантують, що правові норми будуть однаково трактуватися та виконуватися суб'єктами правовідносин, запобігаючи неоднозначності та правовій невизначеності.
Разом з цим, вважаємо, що положення проєкту наказу є нечіткими, наслідком чого буде їх довільне трактування та застосування відповідними посадовцями на власний розсуд, що створює ризики зловживань і корупції та спотворює бізнес-клімат в Україні (обґрунтування у листі ІнАУ від 02.10.2025 № 120 та від 28.10.2025 № 125). Крім цього, додатки до проєкту наказу сформовано окремо, хоча це доречно було б зробити в одному документі, що забезпечувало б логічність та послідовність положень.
Додатки до проєкту наказу є нечіткими та неповними, оскільки не містять навіть орієнтовного переліку товарів, робіт і послуг, що потребуватимуть застосування цього наказу. Вважаємо, що складення переліків орієнтуватиме постачальників та власників/розпорядників на точне, зрозуміле та послідовне розуміння вимог наказу і забезпечуватиме його чітке та однозначне виконання (детальне обґрунтування у листі ІнАУ від 28.10.2025 № 125).
І основне, на що просимо звернути увагу, – це ймовірність настання негативних наслідків для забезпечення товарами, роботами та послугами власників або розпорядників інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, та на діяльність суб'єктів, що постачають товари, виконують роботи чи надають послуги вказаним категоріям, а також на ймовірність штучно створеного дефіциту на вказаних ринках.
Зокрема, запропонована у проєкті наказу реалізація вимоги щодо авторизації з безпеки та наявності інформаційно-комунікаційної системи постачальника у переліку авторизованих систем з безпеки для усіх постачальників (фізичні та юридичні особи, які підпадають під регулювання цим наказом) може мати негативні наслідки. По-перше, не кожна юридична, а тим більше фізична особа буде здійснювати авторизацію систем безпеки, оскільки, як мінімум, це не потрібно невеликим за обсягами постачання фізичним та юридичним особам. Відтак, ринок постачання товарів, робіт і послуг значно зменшиться, і не виключаємо, що у якихось невеликих населених пунктах взагалі зникне. Тобто така вимога може мати негативний наслідок на ринок постачання товарів, робіт і послуг власникам/розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури. І особливо це може мати небезпечно негативні наслідки саме на забезпечення стабільної діяльності об’єктів критичної інформаційної інфраструктури. По-друге, виникає сумнів у тому, що кожен постачальник (фізична чи юридична особа) зможуть виконати вимоги постанови Кабінету Міністрів України від 18 червня 2025 р. № 712, з огляду на положення пунктів 1, 5 Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, згідно з якими суб’єктами авторизації з безпеки системи визначено власників або розпорядників системи, галузеві уповноважені органи, Адміністрацію Держспецзв’язку, а не постачальників (юридичну, а тим більше фізичну особу) товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
Відповідно до пункту 13 Положення про державну реєстрацію нормативно-правових актів міністерств, інших органів виконавчої влади, затвердженого постановою Кабінету Міністрів України від 28 грудня 1992 року № 731 у державній реєстрації відмовляється, якщо нормативно-правовий акт містить норми, що призводять або можуть призвести до вчинення корупційних або пов’язаних з корупцією правопорушень.
Відповідно до статті 1 Закону України «Про запобігання корупції» антикорупційною експертизою визнається діяльність із виявлення в нормативно-правових актах, проєктах нормативно-правових актів положень, які самостійно чи у поєднанні з іншими нормами можуть сприяти вчиненню корупційних правопорушень або правопорушень, пов’язаних з корупцією. Також, відповідно до статті 55 цього Закону, з метою виявлення у чинних нормативно-правових актах та проєктах нормативно-правових актів факторів, що сприяють або можуть сприяти вчиненню корупційних правопорушень, проводиться антикорупційна експертиза з розроблення рекомендацій щодо їх усунення.
З огляду на зазначене:
1. Повторно звертаємось до ДРС України та просимо винести рішення про відмову в погодженні проєкту наказу та запропонувати розробнику доопрацювати проєкт наказу.
2. Мін’юст України, у разі надходження на погодження проєкту наказу, просимо відмовити у його державній реєстрації з мотивів того, що проєкт наказу може мати наслідком неоднакове його застосування, та як такий, що містить норми, що можуть призвести до вчинення корупційних або пов’язаних з корупцією правопорушень.
Про результати розгляду цього листа просимо повідомити письмово.
Додаток (на адресу Мін’юсту України):
-
Копії листів ІнАУ до Держспецзв’язку від 02.10.2025 № 120 та від 28.10.2025 № 125;
-
Копія листа ІнАУ до ДРС України від 11.11.2025 № 129;
-
Копія листа ДРС України від 25.11.2025 № 5025/20-25;
-
Копія листа Держспецзв’язку від 28.11.2025 № 04/04/02-12966/2025.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК