Голові Державної служби спеціального зв’язку
та захисту інформації України
Петрову В.В.
вул. Солом’янська, 13, м. Київ, 03110
Копія:
Державна регуляторна служба України
вул. Арсенальна, 9/11, м. Київ, 01011
Міністерство юстиції України
вул. Городецького, 13, м. Київ, 01001
Вих. № 263
від 11 грудня 2019 року
Щодо проєкту постанови КМУ
Шановний Валентине Володимировичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
26 листопада 2019 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) http://www.dsszzi.gov.ua у розділі «Регуляторна діяльність» підрозділ «Оприлюднення проектів регуляторних актів» оприлюднений проєкт постанови Кабінету Міністрів України «Про затвердження порядків формування переліку об’єктів критичної інформаційної інфраструктури, внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування» (далі – проєкт постанови КМУ), який, як зазначено у Аналізі його регуляторного впливу, розроблено відповідно до частини третьої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон).
ІнАУ, здійснивши аналіз положень проєкту постанови КМУ, надає зауваження та пропозиції для їх врахування.
1. Відповідно до пункту 2 проєкту постанови КМУ пропонується, що Адміністрація ДССЗЗІ повинна сформувати перелік об’єктів критичної інформаційної інфраструктури та забезпечити його ведення.
Пунктом 1 проєкту постанови КМУ пропонується, як додатки, затвердити Порядок формування переліку об’єктів критичної інформаційної інфраструктури (далі – проєкт Порядку), Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування (далі – проєкт Порядку 1).
Проте, частиною третьою статті 4 Закону визначено, що, окрім вказаних документів, Кабінет Міністрів України також затверджує перелік об’єктів критичної інформаційної інфраструктури.
Враховуючи зазначене, пропонуємо пункт 2 проєкту постанови КМУ доповнити положеннями, якими зобов’язати Адміністрацію ДССЗЗІ подати до Кабінету Міністрів України на затвердження перелік об’єктів критичної інформаційної інфраструктури.
2. У пункті 2 проєкту Порядку та у пункті 2 проєкту Порядку 1 запропоновано надати визначення термінам «критична інформаційна інфраструктура» та «критична інфраструктура».
Пропонуємо виключити вказані терміни із тексту проєкту Порядку та Порядку1, оскільки визначення цих термінів надане в Законі.
3. У пункті 15 проєкту Порядку закладено положення про те, що Адміністрація ДССЗЗІ «має право запитувати в уповноваженого органу або в операторів основних послуг додаткову інформацію стосовно наданих відомостей про об’єкти інформаційної інфраструктури, що внесені до секторального переліку об’єктів критичної інформаційної інфраструктури».
Вважаємо, що зазначене положення підлягає виключенню із тексту проєкту Порядку, оскільки не містить чіткої інформації про те, яку саме додаткову інформацію Адміністрація ДССЗЗІ має право запитувати в операторів основних послуг.
4. Пунктом (53) Преамбули Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.
У Аналізі регуляторного впливу до проєкту постанови КМУ також вказано про те, що дія регуляторного акта не буде розповсюджуватися на малі та мікро суб’єкти господарювання.
Проте, зазначені положення Директиви не передбачаються положеннями проєкту постанови КМУ.
Враховуючи наведене пропонуємо:
- пункт 1 проєкту Порядку доповнити реченням у такій редакції:
«Дія цього Порядку не розповсюджується на малі підприємства та мікропідприємства».
- пункт 1 проєкту Порядку 1 доповнити реченням у такій редакції:
«Дія цього Порядку не розповсюджується на малі підприємства та мікропідприємства».
Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності», одним із принципів державної регуляторної політики є прозорість та врахування громадської думки, що передбачає, зокрема, обов’язковий розгляд регуляторними органами ініціатив, зауважень та пропозицій, наданих у встановленому законом порядку фізичними та юридичними особами, їх об’єднаннями.
Термін надання пропозицій та зауважень до проєкту постанови КМУ визначено до 26.12.2019. Тобто, строк розгляду зауважень та пропозицій до проєкту постанови КМУ ще не завершено.
Враховуючи зазначене, звертаємось до Державної регуляторної служби України не погоджувати проєкт постанови КМУ у запропонованій розробником редакції, як такий, що не у повній мірі відповідає законодавству.
Також, просимо Міністерство юстиції України при проведенні правової експертизи проєкту постанови КМУ врахувати зауваження та пропозиції ІнАУ, вказані у цьому листі.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков