Держспецзв’язку опублікувала проєкт постанови КМУ «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту» для громадського обговорення з терміном подачі зауважень до 21 серпня. Документ створюється на виконання ЗУ “Про основні засади забезпечення кібербезпеки України” і має врегулювати:
- загальні принципи державного контролю у сфері кіберзахисту;
- форми контролю і види перевірок в сфері кіберзахисту;
- підстави, процедури організації перевірки, обов’язки та права посадових осіб, що здійснюють перевірки;
- процедури оцінювання стану кіберзахисту та звітність перед органом контролю;
- оформлення результатів перевірки із визначеним строком усунення виявлених порушень;
- гармонізуватися зі стандартами ЄС.
В аналізі регуляторного впливу зазначається, що документ не впливає на суб’єкти малого підприємництва, що насправді не відповідає дійсності, оскільки документ стосується також і всіх об’єктів критичної інформаційної інфраструктури незалежно від розміру. ІнАУ направила звернення до Держспецзв’язку: Лист № 79 від 29.07.2025 Держспецзв’язку та ДРС щодо пропозицій до проекту постанови КМУ «Про затвердження Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту». Зокрема асоціація пропонує:
- усунути поширення постанови КМУ та, відповідно, здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту на об’єкти критичної інфраструктури або об’єкти критичної інформаційної інфраструктури III та IV категорій критичності;
- виключити з Порядку моніторинг стану кіберзахисту уповноваженим органом як форму здійснення державного нагляду, оскільки згідно з положенням вже чинної постанови КМУ моніторинг стану кіберзахисту систем забезпечується їх власниками;
- встановити обов’язковість оцінювання стану кіберзахисту лише для об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури I і II категорій критичності, адже вимога з оцінювання стану кіберзахисту щодо об’єктів критичної інфраструктури або об’єктів критичної інформаційної інфраструктури III і IV категорій критичності не має бути обов’язковою;
- збільшити термін з 6 міс. до 1 року що на виконання першого оцінювання стану кіберзахисту з дати набрання чинності Порядку;
- привести окремі положення Порядку у відповідність з Законом «Про основні засади державного нагляду (контролю) у сфері господарської діяльності», зокрема встановити максимальні строки перевірки відповідно цього закону (2-10 днів), а не 45, як пропонується в документі, а під час проведення позапланової перевірки мають з’ясовуватися лише ті питання, необхідність перевірки яких стала підставою для її здійснення, з обов’язковим зазначенням цих питань у приписі;
- конкретизувати інформацію, яка має вказуватись у приписі на здійснення державного контролю;
- конкретизувати і формалізувати наявність факту шкоди, повʼязаної із невиконанням вимог законодавства у сфері кіберзахисту;
- встановити відповідальність посадових осіб Держспецзв’язку за порушення під час здійснення заходів державного контролю, а також процедуру оскарження результатів перевірки;
- забезпечити нерозголошення чутливої інформації, включно з комерційною таємницею;
- доопрацювати аналіз регуляторного впливу в частині виконання вимог щодо малих підприємств.
No Comment! Be the first one.