Голові Державної служби спеціального зв’язку
та захисту інформації України
ЩИГОЛЮ Ю.Ф.
Копії на адресу:
Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Віце-прем’єр-міністру –
Міністру цифрової трансформації України
ФЕДОРОВУ М.А.
Вих. № 73
від 12.04.2021
Щодо проєкту постанови КМУ
Шановний Юрію Федоровичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
2 квітня 2021 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) https://cip.gov.ua/ у підрозділі «Оприлюднення проектів регуляторних актів» – «Регуляторна діяльність» розділу «Діяльність» оприлюднений для громадського обговорення проєкт постанови Кабінету Міністрів України «Про затвердження Порядку надання послуг Національного центру резервування державних інформаційних ресурсів» (далі – проєкт Постанови КМУ), який, як вказано, розроблено на виконання абзацу третього пункту 5 постанови Кабінету Міністрів України від 08.02.2021 № 94 «Про реалізацію експериментального проекту щодо функціонування Національного центру резервування державних інформаційних ресурсів» (далі – Постанова КМУ № 94) з метою встановлення чіткої процедури надання послуг Національного центру, визначення переліку послуг, які ним надаватимуться.
Відповідно до частини другої статті 19 Конституції України правовий порядок в Україні ґрунтується на засадах, відповідно до яких ніхто не може бути примушений робити те, що не передбачено законодавством. Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов’язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.
Проте, пунктом 3 Постанови КМУ № 94 визначено, що забезпечення функціонування та розвитку Національного центру резервування державних інформаційних ресурсів (далі – НЦРДІР) здійснюється Адміністрацією ДССЗЗІ за рахунок і в межах видатків, передбачених у Державному бюджеті України на відповідний рік, а також з інших джерел, не заборонених законодавством.
Проєктом Постанови КМУ пропонується, окрім Порядку надання послуг НЦРДІР, затвердити типову форму заявки про надання послуг(и) НЦРДІР та перелік послуг, які надаватимуться НЦРДІР.
Разом з цим, в Закон України «Про Державну службу спеціального зв’язку та захисту інформації України» (далі – Закон) не внесено відповідні зміни та доповнення щодо прав, обов’язків, відповідальності та повноважень ДССЗЗІ щодо забезпечення функціонування НЦРДІР. Такі зміни та доповнення не внесено і до Положення про Адміністрацію ДССЗЗІ, затвердженого постановою Кабінету Міністрів України від 03.09.2014 № 411 зі змінами (далі – Положення).
Як слідує з Постанови КМУ № 94 та проєкту постанови КМУ, то НЦРДІР є експериментальним проєктом. Разом з цим, в Аналізі регуляторного впливу до проєкту Постанови КМУ, як обґрунтування створення НЦРДІР, є посилання на Стратегію кібербезпеки України, затверджену Указом Президента України від 15 березня 2016 р. № 96. Проте, у цьому документі, зокрема, у пункті 4.2, дійсно, йдеться про необхідність створення та забезпечення функціонування єдиної платформи захищених електронних комунікацій органів державної влади, розбудову захищеної інтегрованої системи електронних державних реєстрів, баз даних, дата-центрів, у тому числі єдиного дата-центру резервного збереження інформації і відомостей державних електронних інформаційних ресурсів. Проте, ані в Стратегії кібербезпеки України, ані в іншому нормативно-правовому акті України у сфері забезпечення кібербезпеки не йдеться про створення будь-яких експериментальних проектів чи то експериментів.
Відтак, без закріплення на законодавчому рівні, тобто, шляхом внесення відповідних змін та доповнень до Закону та Положення про встановлення прав та обов’язків, відповідальності та повноважень ДССЗЗІ щодо забезпечення функціонування Національного центру резервування державних інформаційних ресурсів, вважаємо, що інші підзаконні нормативно-правові акти з даного питання не відповідатимуть Конституції України. Більше того, на наш погляд, загроза та негативні наслідки без закріплення на законодавчій основі прав та обов’язків, відповідальності за відповідальними посадовими особами Адміністрації ДССЗЗІ, може бути саме в тому, що у разі витоку інформації, не буде юридичних підстав, а, відтак і можливим, притягнути до відповідальності винних осіб.
Тому, вважаємо, що прийняття проєкту Постанови КМУ є передчасним до внесення змін та доповнень до Закону та Положення.
Враховуючи зазначене, просимо Державну регуляторну службу України та Міністерство цифрової трансформації України не погоджувати проєкт Постанови КМУ.
З повагою
Голова Правління Інтернет Асоціації України А.Пятніков