Голові Державної служби спеціального
зв'язку та захисту інформації України
ПОТІЮ О.В.
Копія на адресу:
Голові Державної регуляторної служби України
КУЧЕРУ О.В.
Вих. № 79
від 29.07.2025
Щодо зауважень та пропозицій до проекту постанови Кабінету Міністрів
України «Про затвердження Порядку здійснення державного контролю
за додержанням вимог законодавства у сфері кіберзахисту»
Шановний Олександре Володимировичу!
21 липня 2025 року Державною службою спеціального зв'язку та захисту інформації України на офіційній сторінці в мережі Інтернет за адресою: https://cip.gov.ua/ опубліковано проект постанови Кабінету Міністрів України «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту» (далі – проект постанови КМУ) та зазначено, що зауваження та пропозиції можна подати протягом місяця з дати його оприлюднення.
В установлений термін надаємо зауваження та пропозиції до проекту постанови КМУ, які просимо розглянути та врахувати.
Щодо Аналізу регуляторного впливу до проекту постанови КМУ.
Аналіз регуляторного впливу до проекту постанови КМУ потребує доопрацювання та врахування наступного.
1. Із розділу «І. Визначення проблеми» Аналізу регуляторного впливу слідує, що основними групами (підгрупами), на які впливає проблема, є суб’єкти господарювання, окрім суб’єктів малого підприємництва. У розділі «ІІІ. Визначення та оцінка альтернативних способів досягнення цілей» також зазначається, що «водночас Закон України «Про критичну інфраструктуру», постанова Кабінету Міністрів України від 09.10.2020 № 1109 та Порядок ведення Реєстру об’єктів критичної інфраструктури, включення таких об’єктів до Реєстру, доступу та надання інформації з нього, затверджений постановою Кабінету Міністрів України від 28.04.2023 № 415, не містять вимог, відповідно до яких зазначених суб’єктів господарювання можна поділити на «великі», «середні», «малі» та «мікро». Однак, відповідно до пункту 1 частини другої статті 10 Закону України «Про критичну інфраструктуру» I категорія критичності – особливо важливі об’єкти, які мають загальнодержавне значення, значний вплив на інші об’єкти критичної інфраструктури та порушення функціонування яких призведе до виникнення кризової ситуації державного значення.»
Разом з цим, в Аналізі регуляторного впливу не враховано вимоги законодавства щодо поділу суб'єктів господарювання на категорії: великі, середні, малі та мікропідприємства. Так, відповідно до критеріїв, визначених у частині другій статті 2 Закону України «Про бухгалтерський облік та фінансову звітність в Україні»:
Мікропідприємствами є підприємства, показники яких на дату складання річної фінансової звітності за рік, що передує звітному, відповідають щонайменше двом із таких критеріїв:
балансова вартість активів - до 350 тис. євро;
чистий дохід від реалізації продукції (товарів, робіт, послуг) - до 700 тис. євро;
середня кількість працівників - до 10 осіб.
Малими є підприємства, які не відповідають критеріям для мікропідприємств та показники яких на дату складання річної фінансової звітності за рік, що передує звітному, відповідають щонайменше двом із таких критеріїв:
балансова вартість активів - до 4 млн євро;
чистий дохід від реалізації продукції (товарів, робіт, послуг) - до 8 млн євро;
середня кількість працівників - до 50 осіб.
Тобто, положення проекту постанови КМУ застосовуватимуться не лише до великого та середнього підприємництва, а й малих та мікропідприємств, та положення проекту постанови КМУ матиме вплив на ці категорії підприємництва.
Тому, вважаємо, що відповідно до постанови КМУ від 11 березня 2004 р. № 308 «Про затвердження методик проведення аналізу впливу та відстеження результативності регуляторного акта» до проекту постанови КМУ також, в додатку, має бути складений Тест малого підприємництва (М-Тест), оскільки питома вага суб’єктів малого підприємництва (малих та мікропідприємств разом) у загальній кількості суб’єктів господарювання, на яких поширюється регулювання, перевищує 10 відсотків.
2. Також, у зв’язку з тим, що під дію державного контролю за додержанням вимог законодавства у сфері кіберзахисту, вважаємо, підпаде значна кількість суб’єктів малого підприємництва (малих та мікропідприємств), зокрема, об’єктів критичної інформаційної інфраструктури, просимо опрацювати питання щодо недоцільності поширення постанови КМУ та, відповідно, здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III та IV категорій критичності.
Щодо проекту Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту (далі – проект Порядку).
1. Наведений у абзаці 2 пункту 2 проекту Порядку перелік нормативно-правових актів вважаємо за доцільне доповнити Законом України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» (далі – Закон).
Зазначену пропозицію обґрунтовуємо тим, що відповідно до статті 19 Конституції України органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України. Закон визначає правові та організаційні засади, основні принципи і порядок здійснення державного нагляду (контролю) у сфері господарської діяльності, повноваження органів державного нагляду (контролю), їх посадових осіб і права, обов'язки та відповідальність суб'єктів господарювання під час здійснення державного нагляду (контролю).
Закон визначає правові та організаційні засади, основні принципи і порядок здійснення державного нагляду (контролю) у сфері господарської діяльності, повноваження органів державного нагляду (контролю), їх посадових осіб і права, обов'язки та відповідальність суб'єктів господарювання під час здійснення державного нагляду (контролю). І саме у цьому Законі надано визначення терміну «державний нагляд (контроль)» та врегульовано порядки та процедури його проведення. Тому положення проекту Порядку повинні відповідати вимогам Закону.
2. У п.2 проекту Порядку є посилання на «порядок оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури, затвердженого Кабінетом Міністрів України», проте, відсутні реквізити такого порядку, як діючого нормативно-правового акту України. Тому, потрібно зазначити реквізити нормативно-правового акту.
3. Із проекту Порядку виключити «моніторинг стану кіберзахисту», як
форму здійснення державного нагляду.
Відповідно до частини п’ятої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки здійснюється Державним центром кіберзахисту, який забезпечує створення, функціонування та розвиток системи виявлення вразливостей, а також здійснення для органів державної влади, державних органів, органів місцевого самоврядування, власників або розпорядників критичної інформаційної інфраструктури, операторів критичної інфраструктури моніторингу мереж, сканування мережевих, інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем з метою виявлення вразливостей, які можуть мати значний вплив.
Також, відповідно до статті 15 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» Держспецзв’язку надано право надавати обов’язкові до виконання вимоги про усунення встановлених відповідно до закону порушень законодавства щодо функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, щодо виконання вимог законодавства за результатами моніторингу в порядку, визначеному законодавством щодо діяльності команд реагування на кіберінциденти, кібератаки, кіберзагрози.
Відповідно до п. 27 Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 р. № 373 моніторинг стану кіберзахисту систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, забезпечується їх власниками (розпорядниками). Результати такого моніторингу використовуються Адміністрацією Держспецзв’язку під час, зокрема, здійснення державного контролю у сферах захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, криптографічного та технічного захисту інформації.
Тобто, згідно з положенням вже діючої постанови КМУ, моніторинг стану кіберзахисту систем забезпечується їх власниками (розпорядниками).
Крім цього, Законом визначено, що державний нагляд (контроль) здійснюється шляхом проведення планових та позапланових заходів та не визначено форму (спосіб) державного нагляду шляхом моніторингу.
Також, привертає увагу і певна невідповідність у законодавчих положеннях. Зокрема, у пункті 1 частини другої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» визначено, що Держспецзв’язку забезпечує формування та реалізацію державної політики з кіберзахисту державних інформаційних ресурсів та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, активної протидії агресії в кіберпросторі, кіберзахисту критичної інфраструктури, здійснює державний контроль у зазначених сферах. Відповідно до частини четвертої статті 15 цього Закону Держспецзв’язку здійснює державний контроль за додержанням вимог законодавства у сфері кіберзахисту відповідно до законодавства. Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту встановлюється Кабінетом Міністрів України. Проте, у пунктах 5 та 5¹ статті 15 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» встановлено, що Держспецзв’язку має право проводити планові та позапланові перевірки: стану криптографічного та технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, додержання ліцензійних умов провадження господарської діяльності з надання послуг у галузі криптографічного та технічного захисту інформації, стану протидії технічним розвідкам, надавачів послуг електронної ідентифікації, що реалізують схеми електронної ідентифікації, надавачів електронних довірчих послуг.
4. У п. 8 проекту Порядку зазначається, що «суб’єкти державного контролю для цілей здійснення моніторингу стану кіберзахисту здійснюють планове оцінювання стану кіберзахисту (оцінювання дотримання вимог цільових профілів безпеки системи, самооцінювання та/або зовнішнє оцінювання стану кіберзахисту) щорічно та інформують Адміністрацію Держспецзв’язку про здійснення такого оцінювання в строк не пізніше 30 календарних днів з дати його завершення.».
Разом з цим, потрібно зробити посилання на нормативно-правовий/нормативно-правові акти, у відповідності до якого/яких здійснюється таке планове оцінювання стану кіберзахисту та в яких встановлено порядок та процедури його проведення. Відсутність такої інформації у нормативно-правовому акті матиме наслідком його неповне, неточне або взагалі невиконання.
А, у п. 9 проекту Порядку, де зазначено, що «перше оцінювання стану кіберзахисту для цілей здійснення моніторингу здійснюється протягом шести календарних місяців з дати набрання чинності цього Порядку», просимо змінити строк з «шести календарних місяців» на «один рік».
5. Також, звертаємо увагу, що відповідно до частини другої статті 6 Закону України «Про основні засади забезпечення кібербезпеки України» оцінювання стану кіберзахисту об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури проводиться добровільно або у випадках, визначених законодавством, обов’язково з урахуванням методичних рекомендацій щодо оцінювання стану кіберзахисту, загальних вимог до суб’єктів оцінювання стану кіберзахисту (крім оцінювання стану кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III і IV категорій критичності), визначених Державною службою спеціального зв’язку та захисту інформації України.
Разом з цим, у п.8 та інших положеннях проекту Порядку не враховано зазначене, тобто, що вимога з оцінювання стану кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III і IV категорій критичності не є обов’язковою.
З урахуванням наведеного, просимо доопрацювати п.8 та інші положення проекту Порядку в частині, що стосується необов’язковості оцінювання стану кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III і IV категорій критичності.
6. У п. 15 проекту Порядку строки проведення планових та позапланових заходів необхідно привести у відповідність до частини п’ятої статті 5 та частини четвертої статті 6 Закону. Тому, пропонується така редакція:
«15. Перевірки проводяться у формі планових або позапланових перевірок. Строк здійснення планової перевірки не може перевищувати 10 (десяти) робочих днів, а щодо суб’єктів мікро-, малого підприємництва – 5 (п’яти) робочих днів. Строк здійснення позапланової перевірки не може перевищувати 10 (десяти) робочих днів, а щодо суб'єктів малого підприємництва – 2 (двох) робочих днів. Продовження строку здійснення перевірок не допускається.».
Зокрема, у п. 15 проекту Порядку розробником запропоновано, що перевірки проводяться у формі планових або позапланових перевірок. Строк проведення перевірки не може перевищувати сорока п’яти робочих днів.
Разом з цим, встановлення таких строків є обтяжливим для суб’єктів державного контролю, адже півтори місяці їх працівники будуть відволікатися від виконання основних посадових обов’язків, що, відповідно, може негативно вплинути на здійснення господарської діяльності суб’єктами господарювання.
Крім цього, частиною п’ятою статті 5 Закону встановлено, що строк здійснення планового заходу не може перевищувати десяти робочих днів, а щодо суб’єктів мікро-, малого підприємництва - п’яти робочих днів. Продовження строку здійснення планового заходу не допускається. Сумарна тривалість усіх планових заходів, що здійснюються органами державного нагляду (контролю) протягом календарного року щодо суб’єкта господарювання (комплексного планового заходу), не може перевищувати тридцяти робочих днів, а щодо суб’єктів мікро-, малого підприємництва - п’ятнадцяти робочих днів. А відповідно до частини четвертої статті 6 цього Закону – строк здійснення позапланового заходу не може перевищувати десяти робочих днів, а щодо суб'єктів малого підприємництва – двох робочих днів. Продовження строку здійснення позапланового заходу не допускається.
7. Просимо п. 15 проекту Порядку доповнити новим абзацом такого змісту:
«Під час проведення позапланової перевірки з’ясовуються лише ті питання, необхідність перевірки яких стала підставою для здійснення такої перевірки, з обов’язковим зазначенням цих питань у приписі про здійснення заходу державного контролю.». Таке формулювання узгоджується з частиною першою статті 6 Закону.
8. У п.18 проекту Порядку, де наведено перелік інформації, яка повинна вказуватись у приписі про здійснення заходу державного контролю за дотриманням законодавства в сфері кіберзахисту, додатково, просимо зазначити таку інформацію:
перелік посадових осіб, які беруть участь у здійсненні заходу, із зазначенням їх посади, прізвища, ім'я та по батькові (*замість голова та члени комісії);
дата початку та дата закінчення перевірки;
інформація про здійснення попереднього заходу (тип заходу і строк його здійснення).
Запропоноване ІнАУ формулювання узгоджується з частиною третьою статті 7 Закону.
9. Пункт 20 проекту Порядку просимо доповнити таким положенням:
«Суб’єкт державного контролю має право не допускати членів комісії, що відповідно до припису про здійснення заходу державного контролю за дотриманням законодавства в сфері кіберзахисту уповноважені на проведення перевірки, якщо вони не пред'явили припису про здійснення заходу державного контролю та службового посвідчення.».
Запропоноване ІнАУ формулювання узгоджується з частиною п’ятою статті 7 Закону.
10. У п. 27 проекту Порядку зазначається, що «У разі виявлення за результатами перевірки ознак наявності шкоди, що повʼязана із невиконанням вимог законодавства в сфері кіберзахисту, Адміністрація Держспецзвʼязку має право порушувати перед відповідними державними та/або правоохоронними органами питання про перевірку наявності ознак кримінальних, адміністративних правопорушень в діяльності суб’єктів державного контролю, або про порушення дисциплінарних проваджень за наявності ознак невиконання або неналежного виконання посадових обов’язків в частині виконання функцій та завдань з кіберзахисту у суб’єкта державного контролю.»
Разом з цим, це положення у нормативно-правовому акті повинне бути розширене та містити інформацію, що саме слід розуміти під поняттям «шкода» у даному порядку, а також, якими документами розмір цієї шкоди підтверджується на етапі проведення перевірки? Адже у цивільному праві під поняттям «шкода» розуміємо матеріальну (в т.ч. збитки) та моральну шкоду. Тому потрібно конкретизувати, яку саме і кому може бути нанесено шкоду, про що зазначається у п. 27 проекту Порядку. Крім цього, у п.27 проекту Порядку поняття «шкода» вже вживається ніби доведений факт. Тому, відповідно, потрібно конкретизувати, якими саме доказами Адміністрація Держспецзв’язку буде обґрунтовувати наявність факту шкоди.
Враховуючи зазначене, п. 27 проекту Порядку потребує або суттєвого доопрацювання, або виключення із тексту.
11. У п. 28 проекту Порядку запропоновано положення, згідно з яким «посадові особи суб’єкта державного контролю зобов’язані забезпечувати умови для проведення перевірки відповідно до припису про здійснення заходу державного контролю.».
Але, пропонуємо змінити таку редакцію та встановити, що «посадові особи суб’єкта державного контролю зобов’язані забезпечувати умови для проведення перевірки відповідно до законодавства.».
Запропоноване розробником положення не ґрунтується на нормах законодавства, адже невідомо, які саме «умови» можуть бути зазначені у приписі, в т.ч. з перевищенням владних повноважень, і як такі умови будуть узгоджуватись із положеннями Закону.
12. Проект Порядку пропонуємо доповнити новими положеннями, а саме пунктами 30 та 31, такого змісту:
«30. Посадові особи Держспецзв’язку під час здійснення заходів державного контролю мають обов’язки, визначені частиною другою статті 8 Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».».
«31. Посадові особи Держспецзв’язку несуть відповідальність, визначену статтею 9 Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».».
Запропоновані доповнення до проекту Порядку узгоджуються із законодавством України. Вважаємо несправедливим зазначення у проекті Порядку лише переліку обов’язків та відповідальності суб’єкта державного контролю без одночасного визначення обов’язків та відповідальності посадових осіб Держспецзв’язку.
13. Також, проект Порядку просимо доповнити новим пунктом 32, що гарантуватиме забезпечення збереження чутливої інформації, в т.ч. для національної безпеки країни, доступ до якої матимуть посадові особи Держспецзв’язку у ході здійснення заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту:
«32. Субʼєкт державного контролю має право вимагати нерозголошення інформації, що становить комерційну таємницю або є конфіденційною інформацією.
Під час та після здійснення державного контролю посадові особи Держспецзв’язку зобов’язані зберігати комерційну таємницю та конфіденційну інформацію суб'єкта державного контролю.».
14. Також, просимо доопрацювати проект Порядку та встановити положення, які передбачатимуть порядок та процедури оскарження результатів перевірки чи дій посадових осіб Держспецзв’язку у разі їх невідповідності законодавству чи нормам ділової етики.
Слід зазначити, що можливість оскарження рішень органів державного нагляду (контролю) визначена статтею 21 Закону. Тому в проекті Порядку також повинні бути визначені відповідні процедури та порядок оскарження дій, рішень у ході реалізації заходів державного контролю за додержанням вимог законодавства у сфері кіберзахисту.
Таким чином, в цілому вважаємо, що проект постанови КМУ потребує суттєвого доопрацювання, в т.ч. з метою приведення положень проекту Порядку у відповідність до вимог Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності».
Про результати розгляду поданих ІнАУ зауважень та пропозицій до проекту постанови КМУ просимо повідомити письмово.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК