Голові Державної служби спеціального зв’язку
та захисту інформації України
ЩИГОЛЮ Ю.Ф.
Копії на адреси:
Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Віце-прем’єр-міністру –
Міністру цифрової трансформації України
ФЕДОРОВУ М.А.
Голові Національного агентства
з питань запобігання корупції
НОВІКОВУ О.Ф.
Вих. № 94
від 07.06.2021
Щодо проєкту постанови КМУ «Деякі
питання проведення незалежного аудиту
інформаційної безпеки на об’єктах
критичної інфраструктури»
Шановний Юрію Федоровичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
1 червня 2021 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) https://cip.gov.ua/ у підрозділі «Оприлюднення проектів регуляторних актів» – «Регуляторна діяльність» розділу «Діяльність» оприлюднений для громадського обговорення проєкт постанови Кабінету Міністрів України «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» (далі – проєкт Постанови КМУ), яким пропонується затвердити Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
ІнАУ листами від 31.03.2021 № 69, від 10.06.2020 № 65, від 28.04.2020 № 53/1-2, від 12.03.2020 № 33, від 27.12.2019 № 268 надавала до Адміністрації ДССЗЗІ зауваження та пропозиції до проєкту Постанови КМУ, більшість з яких врахована (посилання на електронні копії листів наведено нижче).
Проте, за результатом опрацювання проєкту Постанови КМУ є невирішеним питання, яке може мати значний фінансовий вплив на діяльність суб’єктів малого підприємництва, в т.ч. операторів та провайдерів телекомунікацій. Зокрема, йдеться про те, що Адміністрація ДССЗЗІ, в одній із редакцій врахувала пропозиції ІнАУ, що Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не поширюватимуться на мікро- та малих підприємств, які надають телекомунікаційні послуги.
Слід зазначити, що для проведення незалежного аудиту інформаційної безпеки у проєкті Постанови КМУ встановлено певні строки. Зокрема, власники та/або керівники об’єктів критичної інфраструктури повинні будуть організувати проведення незалежного аудиту інформаційної безпеки з урахуванням встановлених категорій критичності об’єктів критичної інфраструктури – не рідше ніж один раз на два роки або не рідше ніж один раз на три роки. Разом з цим, як зазначено в Аналізі регуляторного впливу до проєкту Постанови КМУ, орієнтовна середня вартість аудиту одного мережевого ресурсу в України – 20 тис. грн. Додаткові витрати від суб’єктів господарювання, пов’язані з виконанням нормативно-правового акта визначено в орієнтовній щорічній сумі 100 000 тис. грн. Перелік об’єктів критичної інфраструктури на сьогодні не визначено. Слід зазначити, що для суб’єктів малого підприємництва, організацій, установ, які фінансуються з державного та комунального бюджетів, це значні витрати. Адже, як слідує із положень Закону України «Про основні засади забезпечення кібербезпеки України» та із проєктів супровідних документів до проєкту Постанови КМУ, то об’єктами критичної інфраструктури будуть визнані також державні та комунальні підприємства, які, в свою чергу, також повинні сплачувати значні кошти з метою забезпечення проведення незалежного аудиту інформаційної безпеки у встановлені строки.
Тому, за відсутності точної інформації, розробник проєкту постанови КМУ фактично не володіє інформацією про наслідки впровадження цього нормативно-правового акту для мікро- та малих підприємств, які надають телекомунікаційні послуги. Як зазначено в Аналізі регуляторного впливу до проєкту Постанови КМУ, розрахунок витрат на запровадження державного регулювання для суб’єктів малого підприємництва (Тест малого підприємництва) не проводився.
Прогнозними значеннями показників результативності регуляторного акта не визначено надходження до державного та місцевого бюджетів та державних цільових фондів.
Оскільки вартість проведення незалежного аудиту інформаційної безпеки не буде регулюватись державою, аудиторські компанії не будуть державними структурами, то, з зазначеного слідує, що зазначена орієнтовна сума 100 000 тис. грн. буде потрапляти на рахунки приватних структур.
У супровідних документах до проєкту Постанови КМУ наводиться ряд негативних прикладів впливу на інформаційно-телекомунікаційні системи деяких об’єктів, зокрема, такі як, зломи, шкідливі програми, хакерські атаки, кібератаки. Проте, не розкрито, як саме держава шляхом проведення приватними компаніями незалежного аудиту інформаційної безпеки створить значний та суттєвий запобіжник таким загрозам та надасть об’єктам критичної інфраструктури допомогу у захисті інформаційно-телекомунікаційної системи.
Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності», принципами державної регуляторної політики є, зокрема:
ефективність – забезпечення досягнення внаслідок дії регуляторного акта максимально можливих позитивних результатів за рахунок мінімально необхідних витрат ресурсів суб’єктів господарювання, громадян та держави;
збалансованість – забезпечення у регуляторній діяльності балансу інтересів суб’єктів господарювання, громадян та держави;
передбачуваність – послідовність регуляторної діяльності, відповідність її цілям державної політики, а також планам з підготовки проектів регуляторних актів, що дозволяє суб’єктам господарювання здійснювати планування їхньої діяльності;
прозорість та врахування громадської думки – відкритість для фізичних та юридичних осіб, їх об’єднань дій регуляторних органів на всіх етапах їх регуляторної діяльності, обов’язковий розгляд регуляторними органами ініціатив, зауважень та пропозицій, наданих у встановленому законом порядку фізичними та юридичними особами, їх об’єднаннями, обов’язковість і своєчасність доведення прийнятих регуляторних актів до відома фізичних та юридичних осіб, їх об’єднань, інформування громадськості про здійснення регуляторної діяльності.
Законом України «Про розвиток та державну підтримку малого і середнього підприємництва в Україні» визначено, що метою державної політики у сфері розвитку малого і середнього підприємництва в Україні є, зокрема, створення сприятливих умов для розвитку малого і середнього підприємництва, забезпечення розвитку суб’єктів малого і середнього підприємництва з метою формування конкурентного середовища та підвищення рівня їх конкурентоспроможності тощо. За цим Законом основними напрямами державної політики у сфері розвитку малого і середнього підприємництва в Україні є, зокрема, сприяння розвитку інфраструктури підтримки малого і середнього підприємництва тощо.
Враховуючи зазначене, вчергове просимо Адміністрацію ДССЗЗІ розглянути надані ІнАУ пропозиції до проєкту Постанови КМУ та врахувати, зокрема, в частині того, що Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури не поширюватимуться на мікро- та малих підприємств, які надають телекомунікаційні послуги. У разі неврахування такої пропозиції просимо передбачити можливість компенсації мікро- та малим підприємств витрат (або частини витрат) з державного бюджету на проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
Також звертаємось до Державної регуляторної служби України та інших органів державної влади з проханням не погоджувати проєкт Постанови КМУ у запропонованій редакції, оскільки розробником не здійснено попередні розрахунки витрат та спроможність їх виконання мікро- та малими підприємствами від дії регуляторного акту.
Про результати розгляду цього звернення просимо повідомити письмово.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков