Лист № 262 від 09.12.2019 Держспецзв'язку щодо пропозицій до проєкту постанови КМУ «Про затвердження Порядку віднесення об’єктів до об’єктів критичної інфраструктури»

09.12.2019
Вихідні реквізити: 
Вих. № 262 від 09.12.2019
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Голові Державної служби спеціального зв’язку

та захисту інформації України

Петрову В.В.

вул. Солом’янська, 13, м. Київ, 03110

 

Копія:

Державна регуляторна служба України

вул. Арсенальна, 9/11, м. Київ, 01011

 

Міністерство юстиції України

вул. Городецького, 13, м. Київ, 01001

 

Вих. № 262

від 09 грудня 2019 року

 

Щодо проєкту постанови КМУ «Про затвердження Порядку

віднесення об’єктів до об’єктів критичної інфраструктури»

 

Шановний Валентине Володимировичу!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.

26 листопада 2019 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) http://www.dsszzi.gov.ua у розділі «Регуляторна діяльність» підрозділ «Оприлюднення проектів регуляторних актів» оприлюднений проєкт постанови Кабінету Міністрів України «Про затвердження Порядку віднесення об’єктів до об’єктів критичної інфраструктури» (далі – проєкт постанови КМУ), який, як зазначено у Аналізі його регуляторного впливу, розроблено відповідно до частини третьої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон).

ІнАУ, здійснивши аналіз положень проєкту постанови КМУ, надає зауваження та пропозиції для їх врахування.

1. У пункті 4.3 проєкту Методики категоризації об’єктів критичної інфраструктури (далі – проєкт Методики), запропонованої розробником як додаток до постанови КМУ, пропонується, що уповноважений орган разом з оператором критичної інфраструктури проводить оцінку критичності об’єкта критичної інфраструктури з використанням секторальних та міжсекторальних критеріїв визначення рівня негативного впливу, наведених у додатках 1 та 2 цієї Методики, та з урахуванням, зокрема, політичної значущості об’єкта.

У зв’язку з цим, у додатку 2 до проєкту Методики у розділі 2. Політична значущість об’єкта інфраструктури запропоновані такі показники негативного впливу:

  • негативний вплив на довіру людей до державних інституцій;
  • шкода інтересам іншим державам-партнерам України;
  • рівень протестних настроїв.

Крім цього, у розділі 1. Соціальна значущість об’єкта інфраструктури розробником запропоновано показник рівень панічних настроїв населення.

Наполягаємо, що зазначені положення, а також посилання на наведені показники у Додатках 2 та 3 до проєкту Методики, підлягають виключенню із тексту проєкту Методики та Додатку 2, як такі, що не ґрунтуються на положеннях Закону та Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу (далі – Директива).

Пунктом (27) Преамбули Директиви передбачається: для того, щоб визначити чи може інцидент мати значний негативний вплив на надання основної послуги, держави-члени повинні враховувати декілька різних чинників, таких як кількість користувачів, які залежать від такої послуги для особистих або професійних цілей….Оцінюючи вплив, який може мати такий інцидент, відповідно до його ступеню та тривалості, на економічну та соціальну діяльність або громадську безпеку, держави-члени повинні також оцінювати час, що імовірно пройде до того, як таке порушення безперервності почне мати негативний вплив. Також, у статті 6 Директиви, як на чинник зі значним негативним впливом, вказується про можливість впливу, який можуть мати інциденти, стосовно ступеню та тривалості, на економічну та соціальну діяльність або публічну безпеку. Тобто, Директивою при визначенні вагомості негативного впливу інциденту на об’єкт, не визначається, як один із показників (критеріїв), політична значущість об’єкта.

 

2. У Переліку секторів (підсекторів), основних послуг критичної інфраструктури,   який є додатком до проєкту постанови КМУ (далі – проєкт Переліку), у секторі «Інформаційний сектор», запропоновано такі типи основної послуги:

У підсекторі «Інформаційні технології»:

- зберігання та обробка даних у центрах обробки даних та/або хмарних сховищах;

- забезпечення функціонування систем електронного урядування;

- хмарні обчислення;

- електронні довірчі послуги;

- забезпечення функціонування схем електронної ідентифікації;

У підсекторі «Телекомунікації»:

- поширення телевізійного (у тому числі цифрового) та радіосигналів;

- забезпечення функціонування точок обміну трафіком (ІХР);

- підтримка системи доменних імен (DNS) в Інтернеті.

Разом з цим, вважаємо, що перелік запропонованих типів основної послуги у проєкті Переліку, не відповідає переліку, визначеному у Додатку 2 до Директиви, де визначені такі послуги:

- ІХР;

- надавачі послуг DNS;

- Реєстри імен у доменах верхнього рівня.

Таким чином, перелік типів основної послуги у секторі «Інформаційний сектор» у проєкті Переліку, який є додатком до проєкту постанови КМУ, необхідно привести у відповідність до переліку, визначеному у Додатку 2 до Директиви, зокрема у секторі «Цифрова інфраструктура», а також, з урахуванням інших положень Директиви щодо переліку послуг, які можуть бути віднесені до сектору «Інформаційний сектор».

 

3. Пунктом (53) Преамбули Директиви передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.

У Аналізі регуляторного впливу до проєкту постанови КМУ також вказано про те, що дія регуляторного акта не буде розповсюджуватися на малі та мікро суб’єкти.

Проте, зазначені положення Директиви не передбачаються положеннями проєкту постанови КМУ.

Враховуючи наведене пропонуємо:

- пункт 1 проєкту Порядку доповнити реченням у такій редакції:

«Дія цього Порядку не розповсюджується на малі підприємства та мікропідприємства».

- пункт 1 проєкту Методики доповнити реченням у такій редакції:

«Дія цієї Методики не розповсюджується на малі підприємства та мікропідприємства».

 

4. Пунктом (26) Преамбули Директиви передбачено, що, для того, щоб охарактеризувати важливість – відносно відповідного сектора – визначених операторів основних послуг, держави-члени повинні враховувати кількість та розмір таких операторів, наприклад, щодо частки ринку або обсягу виробництва або перевезення, без зобов’язання розголошувати інформацію, що може виявити, яких операторів було визначено. Статтею 6 Директиви встановлюється, що при визначенні вагомості негативного впливу, … держави-члени повинні враховувати, зокрема, такий чинник, як (d) ринкова частка такого суб’єкта.

Проте, у додатку 3 до проєкту Методики такий чинник не передбачено.

Отже, пропонуємо у додатку 3 до проєкту Методики врахувати чинник (d) із статті 6 Директиви, а також процедуру отримання підтвердження такого факту від органу Антимонопольного комітету України.

 

Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» одним із принципів державної регуляторної політики є прозорість та врахування громадської думки, що передбачає, зокрема, обов’язковий розгляд регуляторними органами ініціатив, зауважень та пропозицій, наданих у встановленому законом порядку фізичними та юридичними особами, їх об’єднаннями.

Термін надання пропозицій та зауважень до проєкту постанови КМУ визначено до  26.12.2019. Тобто, строк розгляду зауважень та пропозицій до проєкту постанови КМУ ще не завершено.

Враховуючи зазначене, звертаємось до Державної регуляторної служби України не погоджувати проєкт постанови КМУ у запропонованій розробником редакції, як такий, що не у повній мірі відповідає законодавству.

 

Також, просимо Міністерство юстиції України при проведенні правової експертизи проєкту постанови КМУ врахувати зауваження та пропозиції ІнАУ, вказані у цьому листі.

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                                    А. Пятніков