Голові Державної служби спеціального зв’язку
та захисту інформації України
ПЕТРОВУ В.В.
вул. Солом’янська, 13, м. Київ, 03110
Копія: Т. в. о. Голови Державної
регуляторної служби України
МІРОШНІЧЕНКУ О.М.
вул. Арсенальна, 9/11, м. Київ, 01011
Вих. № 59
від 27.05.2020
Щодо проєкту постанови КМУ
«Про затвердження Порядку віднесення
об’єктів до об’єктів критичної інфраструктури»
Шановний Валентине Володимировичу!
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
25 травня 2020 року на вебсайті Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) http://www.dsszzi.gov.ua у розділі «Регуляторна діяльність» підрозділ «Оприлюднення проектів регуляторних актів» оприлюднений проєкт постанови Кабінету Міністрів України «Про затвердження Порядку віднесення об’єктів до об’єктів критичної інфраструктури» (далі – проєкт постанови КМУ), який розроблено відповідно до частини третьої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон).
Це не перша редакція цього проєкту постанови КМУ, яка опубліковується для громадського обговорення. І, слід зазначити, що частину пропозицій, які надавала ІнАУ, враховано. Проте, частина пропозицій, вважаємо, також потребує обговорення та врахування в остаточному тексті проєкту цього документу.
1. У розділі 1. Соціальна значущість об’єкта інфраструктури Форми визначення рівня негативного впливу у разі знищення, пошкодження або порушення функціонування об’єкта критичної інфраструктури (міжсекторальні критерії), яка є Додатком 2 до Методики категоризації об’єктів критичної інфраструктури, розробником запропоновано показник рівень панічних настроїв населення.
Пропонуємо цей показник виключити, як такий, що не ґрунтується на положеннях Закону та Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу (далі – Директива).
2. У Переліку секторів (підсекторів), основних послуг критичної інфраструктури, який є додатком до проєкту постанови КМУ (далі – проєкт Переліку), у секторі «Інформаційний сектор», у підсекторі «Телекомунікації», запропоновано такі типи основної послуги:
- забезпечення функціонування точок обміну трафіком (ІХР);
- підтримка системи доменних імен (DNS) в Інтернеті.
Разом з цим, вважаємо, що перелік запропонованих типів основної послуги у проєкті Переліку, не відповідає переліку, визначеному у Додатку 2 до Директиви, де визначені послуги з такими назвами:
- ІХР;
- надавачі послуг DNS;
- Реєстри імен у доменах верхнього рівня.
Таким чином, перелік типів основної послуги у секторі «Інформаційний сектор» у проєкті Переліку, який є додатком до проєкту постанови КМУ, необхідно привести у відповідність до переліку, визначеному у Додатку 2 до Директиви, зокрема, у підсекторі «Телекомунікації».
3. Пунктом (53) Преамбули Директиви передбачається, що, для того, щоб уникнути покладання непропорційного фінансового та адміністративного тягаря на операторів основних послуг та надавачів цифрових послуг, вимоги повинні бути пропорційними ризику, зв’язаному з відповідною мережевою та інформаційною системою, враховуючи сучасний стан таких інструментів. У випадку надавачів цифрових послуг, такі вимоги не повинні застосовуватися до мікро- та малих підприємств.
Враховуючи наведене, в черговий раз звертаємось із проханням розглянути питання щодо недопустимості додаткового зарегулювання та покладення значних фінансових витрат, тим більше, у цей кризовий період для економіки країни, на мікро- та малі підприємства. Адже, формальний, непрогнозований та фінансово не прорахований підхід може призвести до дисбалансу конкуренції, наприклад, на телекомунікаційних ринках, внаслідок фінансової неспроможності виконання майбутніх державних вимог у цій сфері.
4. Крім того, у тексті проєкту постанови КМУ застосовуються вирази, як-то «пошкодження або знищення об’єкта», «пошкодження або порушення функціонування об’єкта критичної інфраструктури». Відповідно до Додатку 1 проєкту Методики, фактором негативного впливу в Інформаційному секторі є «знищення, пошкодження або порушення функціонування об’єкта критичної інфраструктури припиниться або порушиться надання основних послуг об’єктом».
ІнАУ неодноразово звертала увагу, та, по суті і вам відомо, про такі негативні явища у суспільстві, як умисне пошкодження злочинцями телекомунікаційних мереж операторів, провайдерів телекомунікацій. Яке, на превеликий жаль, є частим явищем та, іноді призводить до призупинення надання телекомунікаційних послуг абонентам. Звісно, такі події відбуваються не з волі операторів, провайдерів телекомунікацій, а покладають на них додатковий значний фінансовий тягар для відновлення роботи пошкоджених телекомунікаційних мереж.
Проте, категорія критичності об’єкта критичної інфраструктури визначатиметься на основі аналізу рівня негативного впливу, яку особа, суспільство, навколишнє середовище, економіка, національна безпека та обороноздатність країни можуть зазнати внаслідок порушення або припинення функціонування об’єкта інфраструктури відповідно до критеріїв, зазначених у додатках 1 та 2 до цієї Методики.
Тобто, вважаємо, що зазначене питання потребує додаткового обговорення та врахування в проєкті постанови КМУ положення, коли такі пошкодження телекомунікаційних мереж стаються внаслідок злочинних дій.
Адже, законодавство у сфері кібербезпеки країни, наразі, на початковій стадії його формування, тому, складно передбачити ті регуляторні вимоги, в т.ч. фінансового характеру, які держава надалі запланує покласти на операторів, провайдерів телекомунікацій, інших суб’єктів Інформаційного сектору, які будуть визнані суб’єктами критичної інфраструктури.
Таким чином вважаємо, що проєкт постанови КМУ потребує доопрацювання та врахування наданих ІнАУ зауважень щодо недопущення непрогнозованого нанесення збитків суб’єктам малого та мікро підприємництва.
Відповідно до статті 4 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» одним із принципів державної регуляторної політики є прозорість та врахування громадської думки, що передбачає, зокрема, обов’язковий розгляд регуляторними органами ініціатив, зауважень та пропозицій, наданих у встановленому законом порядку фізичними та юридичними особами, їх об’єднаннями.
Враховуючи зазначене, звертаємось до Державної регуляторної служби України не погоджувати проєкт постанови КМУ у запропонованій розробником редакції, як такий, що не у повній мірі відповідає законодавству.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков