ІнАУ закликає врахувати законні інтереси малого телеком-бізнесу в Порядку здійснення державного контролю у сфері кіберзахисту

            Держспецзв’язку опублікувала проєкт постанови КМУ «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту» для громадського обговорення з терміном подачі зауважень до 21 серпня.

            Документ створюється на виконання ЗУ «Про основні засади забезпечення кібербезпеки України» і має врегулювати:

  • загальні принципи державного контролю у сфері кіберзахисту;

  • форми контролю і види перевірок у сфері кіберзахисту;

  • підстави, процедури організації перевірки, обов’язки та права посадових осіб, що здійснюють перевірки;

  • процедури оцінювання стану кіберзахисту та звітність перед контролюючим органом;

  • оформлення результатів перевірки із визначеним строком усунення виявлених порушень;

  • гармонізуватися зі стандартами ЄС.

            В аналізі регуляторного впливу зазначається, що документ не впливає на суб’єкти малого підприємництва, що насправді не відповідає дійсності, оскільки документ стосується також і всіх об’єктів критичної інформаційної інфраструктури, незалежно від розміру.

 

            ІнАУ направила звернення до Держспецзв’язку: Лист № 79 від 29.07.2025 Держспецзв’язку та ДРС щодо пропозицій до проекту постанови КМУ «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту». Зокрема, Асоціація пропонує:

  • усунути поширення постанови КМУ та, відповідно, здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту на об’єкти критичної інфраструктури або об’єкти критичної інформаційної інфраструктури III та IV категорій критичності;

  • виключити з Порядку моніторинг стану кіберзахисту уповноваженим органом, як форму здійснення державного нагляду, оскільки, згідно з положенням вже діючої постанови КМУ моніторинг стану кіберзахисту систем забезпечується їх власниками;

  • встановити обов’язковість оцінювання стану кіберзахисту лише для об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури I і II категорій критичності, адже вимога з оцінювання стану кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III і IV категорій критичності не має бути обов’язковою;

  • збільшити термін з 6 міс. до 1 року на виконання першого оцінювання стану кіберзахисту з дати набрання чинності Порядку;

  • привести окремі положення Порядку у відповідність з Законом «Про основні засади державного нагляду (контролю) у сфері господарської діяльності», зокрема, встановити максимальні строки перевірки відповідно цього закону (2-10 днів), а не 45, як пропонується в документі, а під час проведення позапланової перевірки мають з’ясовуватися лише ті питання, необхідність перевірки яких стала підставою для її здійснення, з обов’язковим зазначенням цих питань у приписі;

  • конкретизувати інформацію, яка має вказуватись у приписі на здійснення державного контролю;

  • конкретизувати і формалізувати наявність факту шкоди, повʼязаної із невиконанням вимог законодавства в сфері кіберзахисту;

  • встановити відповідальність посадових осіб Держспецзв’язку за порушення під час здійснення заходів державного контролю, а також процедуру оскарження результатів перевірки;

  • забезпечити нерозголошення чутливої інформації, включно з комерційною таємницею;

  • доопрацювати аналіз регуляторного впливу в частині виконання вимог щодо малих підприємств.