ІнАУ пропонує усунути надмірне регулювання у законопроекті №8087 щодо кіберзахисту

            Асоціація направила листи до ряду парламентських комітетів: Лист № 04/1-4 від 25.01.2023 ВРУ щодо зауважень до проекту Закону реєстр. № 8087 від 29.09.2022.

            Листи містять постатейні зауваження до законопроекту №8087 «Про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури», який було прийнято за основу 12 січня.

            Серед іншого цей законопроект пропонує такі новації:

  • додаткові вимоги до розпорядників інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси, а також операторів критичної інфраструктури (КІ) та критичної інформаційної інфраструктури. Конкретизувати ці вимоги мають майбутні підзаконні акти;
  • буде створено відкритий реєстр забороненого до використання програмного забезпечення;
  • оператори КІ повинні будуть призначати відповідальну особу з кіберзахисту;
  • розширюються повноваження ДССЗЗІ, в т.ч. здійснення державного контролю у сферах технічного захисту інформації та кіберзахисту власниками, розпорядниками інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси, а також операторами КІ.

            ІнАУ пропонує такі основні правки до цього законопроекту:

  • недоцільнe розповсюдження державного контролю і регулювання на операторів критичної інфраструктури III та IV категорії (з незначними наслідками негативного впливу), які зазвичай є малими і мікропідприємствами, адже такі підприємства не мають ресурсів для найму відповідальної особи з кіберзахисту і впровадження відповідних заходів, а також через те, що це перевантажить відповідну державну систему контролю і регулювання;
  • підтвердження відповідності впроваджених заходів безпеки інформації встановленим вимогам має встановлюватись не до постачальників та їх субпідрядників, які постачають товари, роботи, послуги, а до окремих видів критичних послуг;
  • визначення об’єкта інформаційної діяльності і обробки інформації в системі потребує доопрацювання, адже в пропонованій редакції під ці визначення потрапляє необмежений круг суб’єктів господарювання в сфері інформації, які можуть необгрунтовано потрапити під заходи державного регулювання.