Голові Державної служби спеціального зв’язку
та захисту інформації України
ЩИГОЛЮ Ю.Ф.
Копії на адресу:
Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Віце-прем’єр-міністру –
Міністру цифрової трансформації України
ФЕДОРОВУ М.А.
Міністру юстиції України
МАЛЮСЬЦІ Д.Л.
Голові Національного агентства
з питань запобігання корупції
НОВІКОВУ О.Ф.
Вих. № 69
від 31.03.2021
Щодо проєкту постанови КМУ
Шановний Юрію Федоровичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
19 березня 2021 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) https://cip.gov.ua/, у підрозділі «Оприлюднення проектів регуляторних актів» – «Регуляторна діяльність» розділу «Діяльність», оприлюднений для громадського обговорення проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт Постанови КМУ), який, як вказано, розроблено з метою визначення основних вимог та порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури. Проєктом Постанови КМУ пропонується затвердити Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
У Пояснювальній записці до проєкту Постанови КМУ зазначається, що «проєкт постанови було оприлюднено на офіційному вебсайті Держспецзв’язку (https://www.dsszzi.gov.ua) для проведення консультацій із заінтересованими сторонами. Зауваження і пропозиції, отримані від Української асоціації операторів зв’язку «Телас», обговорені у ході зустрічі з їх представниками (протокол від 25.02.2020 № 11/01/01-393), враховано. Зауваження і пропозиції, отримані від Інтернет асоціації України та Українського союзу промисловців і підприємців, враховано частково.»
ІнАУ листами від 28.04.2020 № 53/1-2, від 12.03.2020 № 33, від 27.12.2019 № 268 надавала до Адміністрації ДССЗЗІ зауваження та пропозиції до проєкту Постанови КМУ, більшість з яких, дійсно, врахована (посилання на електронні копії листів наведено нижче).
При цьому, Адміністрація ДССЗЗІ у листі від 28.05.2020 № 11/01/01-864 повідомила ІнАУ про врахування пропозиції ІнАУ про те, що Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не поширюватимуться на мікро- та малих підприємств, які надають телекомунікаційні послуги (листування з даного питання також наведено нижче).
Проте, у редакції текстів, а саме у пунктах 1 проектів Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, які оприлюднені для громадського обговорення 19.03.2021, Адміністрацією ДССЗЗІ для громадського обговорення, зазначене не враховане.
Пояснювальна записка до проєкту Постанови КМУ не містить жодного обґрунтування щодо зміни позиції Адміністрації ДССЗЗІ з цього приводу, рівно, як на нашу адресу не направлялось жодного додаткового сповіщення з даного приводу.
Статтею 8 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» визначено, що стосовно кожного проекту регуляторного акта його розробником готується аналіз регуляторного впливу. Аналіз регуляторного впливу готується до оприлюднення проекту регуляторного акта з метою одержання зауважень та пропозицій. Розробник проекту регуляторного акта при підготовці аналізу регуляторного впливу повинен, зокрема, визначити очікувані результати прийняття запропонованого регуляторного акта, у тому числі здійснити розрахунок очікуваних витрат та вигод суб’єктів господарювання, громадян та держави внаслідок дії регуляторного акта.
Проте, до проекту Постанови КМУ не здійснено розрахунок очікуваних витрат та вигод суб’єктів господарювання, громадян та держави внаслідок дії регуляторного акта
Зокрема, у Пояснювальній записці до проєкту Постанови КМУ зазначено, що реалізація постанови потребуватиме постійних витрат з Державного бюджету України та про те, що фінансово-економічні розрахунки до проєкту постанови додаються. Проте, такі фінансово-економічні розрахунки відсутні у загальному доступі для можливості ознайомлення з ними.
У Пояснювальній записці до проєкту Постанови КМУ не розкрито за чий рахунок буде здійснюватись обов’язковий незалежний аудит інформаційної безпеки, і які фінансові витрати нестиме у зв’язку з цим кожен суб’єкт господарювання, який буде віднесено до об’єкта критичної інфраструктури. Таким чином, запевнення розробника у Пояснювальній записці до проєкту Постанови КМУ про те, що «реалізація постанови не матиме впливу на ринкове середовище» є безпідставною та необґрунтованою, адже у сфері надання телекомунікаційних послуг задіяна значна кількість суб’єктів мікро- та малих підприємництва. За відсутності розуміння вартості незалежного аудиту інформаційної безпеки, на даному етапі не може бути цілковитої впевненості у тому, що зазначене додаткове фінансове навантаження на мікро- та малих підприємств не призведе до перерозподілу на телекомунікаційному ринку за рахунок фінансової неспроможності останніми нести значні фінансові затрати.
Пунктом 3 § 32. Загальні вимоги Глави 2 Регламенту Кабінету Міністрів України, затвердженого постановою Кабінету Міністрів України від 18.07.2007 № 950 (у редакції постанови Кабінету Міністрів України від 9 листопада 2011 р. № 1156) встановлено, що проекти регуляторних актів Кабінету Міністрів готуються з урахуванням особливостей, передбачених Законом України «Про засади державної регуляторної політики у сфері господарської діяльності», та відповідно до Методики проведення аналізу впливу регуляторного акта, затвердженої постановою Кабінету Міністрів України від 11.03.2004 № 308 (далі – Методика).
Методикою визначено, що прогнозні значення показників результативності регуляторного акта встановлюються протягом різних періодів після набрання чинності актом, обов’язковими з яких повинні бути, зокрема, кількість суб’єктів господарювання та/або фізичних осіб, на яких поширюватиметься дія акта; розмір коштів і час, що витрачатимуться суб'єктами господарювання та/або фізичними особами, пов'язаними з виконанням вимог акта; рівень поінформованості суб'єктів господарювання та/або фізичних осіб з основних положень акта. А, пунктом 13 цієї Методики визначено, що результати аналізу викладаються письмово згідно з додатком 1 і підписуються розробником проекту, а в разі, коли розробником проекту є регуляторний орган, інший орган, установа чи організація, - керівником органу, установи чи організації. Витрати на одного суб’єкта господарювання великого і середнього підприємництва, які виникають внаслідок дії регуляторного акта, викладаються згідно з додатком 2. Проте, такі розрахунки відсутні до проекту Постанови КМУ.
Відтак, вважаємо, що запровадження додаткових зобов’язань на мікро- та малі підприємства, не здійснивши попереднього фінансового розрахунку щодо фінансового навантаження на цю категорію суб’єктів господарювання, зарані може містити реальну загрозу перекладення на них значних фінансових зобов’язань без права отримання компенсації за рахунок державного бюджету.
Частиною третьою статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» дійсно визначено, що вимоги і порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури встановлюються відповідними нормативно-правовими актами з аудиту інформаційної безпеки, що затверджуються Кабінетом Міністрів України. Розроблення нормативно-правових актів з незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури здійснюється на основі міжнародних стандартів, стандартів Європейського Союзу та НАТО з обов’язковим залученням представників основних суб’єктів національної системи кібербезпеки, наукових установ, незалежних аудиторів та експертів у сфері кібербезпеки, громадських організацій.
Проте, в Україні до сьогодні не складено переліку об’єктів критичної інфраструктури, не надано визначення, що таке «незалежний аудит інформаційної безпеки» тощо. У Верховній Раді України лише зареєстровані два законопроекти: проект Закону про критичну інфраструктуру (№ 5219 від 09.03.2021) та альтернативний проект Закону про критичну інфраструктуру та її захист (№ 5219-1 від 18.03.2021).
Відтак, фактично запропоновано проект положень нормативно-правового акту на проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, тоді, як переліку таких об’єктів ще не складено та не сформовано положення на рівні законів.
Тому, за умов відсутнього сформованого переліку об’єктів критичної інфраструктури, вважаємо передчасним впровадження порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, оскільки це може містити корупційне підґрунтя для вибіркової вимоги з боку державних органів у його проведенні до окремих суб’єктів господарювання до формування переліків.
Здавалося б, що документ з назвою «Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» повинен містити процедуру проведення такого аудиту, права та обов’язки аудиторів та власників об’єктів критичної інфраструктури, чи то уповноважених ними осіб. Проте, у проекті Порядку зазначено лише на права та обов’язки лише аудитора. Тобто, проект Порядку не враховує те, що під час проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури власник такого об’єкту повинен бути наділений певним колом як обов’язків, так і прав, для захисту своїх законних інтересів.
Нечітким є і положення пункту 4 Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, яке сформульоване як незалежний аудит проводиться для оцінки відповідності стану інформаційної безпеки на об’єктах критичної інфраструктури вимогам законодавства, національних стандартів та рекомендаціям міжнародних стандартів інформаційної безпеки.
Тобто, таке положення є нечітким, а, відтак, на нашу думку, містить корупційну складову, оскільки відсутній чіткий та зрозумілий перелік документів, а саме перелік національного законодавства, національних стандартів та рекомендацій міжнародних стандартів у сфері забезпечення інформаційної безпеки на об’єктах критичної інфраструктури. Зазначене може надавати можливість аудитору вдаватись до маніпулювання при використанні таких нормативно-правових актів, стандартів та рекомендацій.
Відтак, пропонуємо розробити такий перелік та визначити як додаток до Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
Отже, вважаємо, що проєкт Постанови КМУ потребує доопрацювання та врахування наданих ІнАУ зауважень та пропозицій.
Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності», принципами державної регуляторної політики є, зокрема:
ефективність – забезпечення досягнення внаслідок дії регуляторного акта максимально можливих позитивних результатів за рахунок мінімально необхідних витрат ресурсів суб’єктів господарювання, громадян та держави;
збалансованість – забезпечення у регуляторній діяльності балансу інтересів суб’єктів господарювання, громадян та держави;
передбачуваність – послідовність регуляторної діяльності, відповідність її цілям державної політики, а також планам з підготовки проектів регуляторних актів, що дозволяє суб’єктам господарювання здійснювати планування їхньої діяльності;
прозорість та врахування громадської думки – відкритість для фізичних та юридичних осіб, їх об’єднань дій регуляторних органів на всіх етапах їх регуляторної діяльності, обов’язковий розгляд регуляторними органами ініціатив, зауважень та пропозицій, наданих у встановленому законом порядку фізичними та юридичними особами, їх об’єднаннями, обов’язковість і своєчасність доведення прийнятих регуляторних актів до відома фізичних та юридичних осіб, їх об’єднань, інформування громадськості про здійснення регуляторної діяльності.
Вважаємо, що саме ці принципи державної регуляторної політики не дотримано у оприлюдненому 19.03.2021 для громадського обговорення тексті проєкту Постанови КМУ.
Враховуючи зазначене, просимо Адміністрацію ДССЗЗІ розглянути надані ІнАУ зауваження та пропозиції до проєкту Постанови КМУ та врахувати їх. Зокрема, і в частині вираженої раніше Вами позиції відносно того, що Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не поширюватимуться на мікро- та малих підприємств, які надають телекомунікаційні послуги.
Також звертаємось до Державної регуляторної служби України з проханням не погоджувати проєкт Постанови КМУ у запропонованій редакції, як такий, що не у повній мірі відповідає законодавству та потребує доопрацювання окремих його положень. І, в першу чергу, перш ніж перекладати фінансові витрати на суб’єктів господарювання, розробнику доречно здійснити попередні розрахунки таких витрат та спроможність їх виконання суб’єктами господарювання, завбачивши таким чином фінансові наслідки для мікро- та малих підприємств від дії регуляторного акту.
Одночасно просимо Міністерство цифрової трансформації України, Міністерство юстиції України та Національне агентство з питань запобігання корупції, при розгляді та проведенні експертизи проєкту Постанови КМУ, врахувати зауваження та пропозиції ІнАУ, викладені як у цьому листі, так і виражені в інших вищевказаних листах ІнАУ.
Про результати розгляду цього звернення просимо повідомити письмово.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков