Висновок антикорупційної експертизи проєкту Закону України «Про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури»

Картка проєкту

Суб’єкт права законодавчої ініціативи: Кабінет Міністрів України

Мета проєкту Закону – нормативне забезпечення захищеності від кібератак державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури, створення належної правової основи для здійснення заходів з попередження, виявлення і припинення актів агресії у кіберпросторі в умовах війни Російської Федерації проти України, а також загальне удосконалення нормативно-правової бази у сфері кібербезпеки та захисту інформації задля посилення спроможностей національної системи кібербезпеки для протидії кіберзагрозам

Проєкт Закону реєстр. № 8087 від 29.09.2022 з урахуванням таблиці правок до другого читання в редакції від 03.04.2023

 

 Резюме антикорупційної експертизи

За результатами антикорупційної експертизи проєкту Закону України «Про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури» (далі – проєкт Закону) Національне агентство ідентифікувало такі корупціогенні фактори: - розширення дискреційних повноважень Державної служби спеціального зв’язку та захисту інформації (далі – ДССЗІ) під час здійснення державного контролю у сферах технічного захисту інформації та кіберзахисту; - встановлення непрозорого способу уповноваження, надання дозволу на здійснення тестування та доступ до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури учасникам державного контролю у сферах технічного захисту інформації та кіберзахисту; - невиправдане делегування повноважень ДССЗІ встановлювати функції, повноваження, загальні вимоги до підрозділів з кіберзахисту та їх співробітників, загальні вимоги до офіцерів з кіберзахисту, а також відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту.  

Опис виявлених корупціогенних факторів

І. Використання правових конструкцій оціночного характеру Проєктом Закону пропонується внести зміни до Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», зокрема доповнити цей Закон новою ст. 26 «Основні засади здійснення державного контролю». У ч. 4 нової ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» визначено, що контроль за технічним захистом інформації та кіберзахистом здійснюється ДССЗІ шляхом здійснення відповідних заходів контролю, зокрема у формі планових та позапланових перевірок об'єктів контролю, до яких (за обґрунтованої необхідності) можуть бути залучені співробітники основних субʼєктів національної системи кібербезпеки України. Згідно з ч. 7 зазначеної ст. 26 особи, у тому числі (за обґрунтованої необхідності) співробітники основних суб’єктів забезпечення кібербезпеки України, уповноважені Головою або заступником Голови ДССЗІ на безпосереднє здійснення спеціальних заходів контролю, вважаються такими, що мають дозвіл на тестування та доступ до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури в межах наданих їм повноважень. У ч. 8 нової ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» визначено, що для здійснення спеціальних заходів контролю Державна служба спеціального зв’язку та захисту інформації України може створювати спеціалізовані команди, до яких (за обґрунтованої необхідності) можуть залучатися відповідні співробітники основних субʼєктів національної системи кібербезпеки України. У п. 4 ч. 3 нової редакції ст. 9 Закону України «Про основні засади забезпечення кібербезпеки України» визначено, що до Об’єднаної групи реагування на інциденти кібербезпеки, кібератаки, кіберзагрози, за обґрунтованої необхідності,  залучаються представники інших основних суб’єктів національної системи кібербезпеки. Проте у проєкті Закону відсутні положення, що визначають підстави та перелік випадків для залучення співробітників основних суб’єктів національної системи кібербезпеки України до визначених заходів контролю та встановлення їх відповідності. Таким чином, застосування оціночних понять «можуть бути залучені», «за обґрунтованої необхідності», «відповідні» за відсутності визначених підстав та переліку випадків для залучення співробітників основних суб’єктів національної системи кібербезпеки України призведе до суб’єктивних підходів при реалізації положень ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» та п. 4 ч. 3 ст. 9 Закону України «Про основні засади забезпечення кібербезпеки України» у пропонованих редакціях, наділить ДССЗІ та Національний координаційний центр кібербезпеки широкими дискреційними повноваженнями при прийнятті відповідних рішень. Рекомендація НАЗК: - доопрацювати ч. 4, ч. 7, ч. 8 нової ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», п. 4 ч. 3 нової редакції ст. 9 Закону України «Про основні засади забезпечення кібербезпеки України» шляхом визначення переліку підстав та/або випадків для залучення співробітників основних суб’єктів національної системи кібербезпеки України до відповідних заходів, а також переліку підстав та/або випадків для створення спеціалізованих команд.   ІІ. Нечітка, з порушенням принципу юридичної визначеності, регламентація прав, обов’язків чи відповідальності юридичних та фізичних осіб у будь-якій сфері правового регулювання 1. У ч. 7 нової ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» особи, у тому числі співробітники основних суб’єктів забезпечення кібербезпеки України, вважаються такими, що мають дозвіл на тестування та доступ до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури за наявності уповноваження Голови або заступника Голови ДССЗІ на безпосереднє здійснення спеціальних заходів контролю. Однак положеннями пропонованої редакції ст. 26 не визначено спосіб надання дозволу на тестування та доступу до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури, а також спосіб їх уповноваження Головою або заступником Голови ДССЗІ. Крім того,  незрозуміло, які особи, крім співробітників основних суб’єктів забезпечення кібербезпеки України, уповноважуються на безпосереднє здійснення спеціальних заходів. До того ж застосоване у зазначеній ст. 26 формулювання «співробітники основних субʼєктів національної системи кібербезпеки України» є нечітким, адже такими представниками можуть бути як посадові (службові) особи субʼєктів національної системи кібербезпеки України, так і будь-які особи, яких субʼєкт національної системи кібербезпеки України делегував на участь у заході контролю. З огляду на визначені антикорупційним законодавством заборони та обмеження для посадових (службових) осіб, а також з метою мінімізації можливих корупційних ризиків зазначене поняття потребує уточнення. Аналогічне зауваження в частині формулювання «співробітники основних субʼєктів національної системи кібербезпеки України» стосується загалом тексту проєкту Закону. Рекомендації НАЗК: визначити спосіб уповноваження, надання дозволу на здійснення тестування та доступ до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури співробітникам основних суб’єктів забезпечення кібербезпеки України; у ч.ч. 4,  7,  8 нової ст. 26 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» слова «співробітники основних субʼєктів національної системи кібербезпеки України» замінити словами «посадові або службові особи основних субʼєктів національної системи кібербезпеки України».   2. У новій редакції п.1 ч. 1 ст. 15 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» пропонується передбачити, що ДССЗІ має право вимагати у встановлені строки шляхом направлення письмового запиту щодо надання органами державної влади, органами місцевого самоврядування, військовими формуваннями, утвореними відповідно до законів України, підприємствами, установами і організаціями незалежно від форми власності інформації, документів і матеріалів, необхідних для виконання покладених завдань. Пропонована редакція положень закону наділяє ДССЗІ широкими дискреційними повноваженнями та створює умови для суб’єктивного  прийняття рішень щодо визначення випадків, у яких вимагається необхідна для виконання покладених завдань інформація. Рекомендація НАЗК: доповнити нову редакцію п.1 ч. 1 ст. 15 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» словами «у визначених законом випадках».   ІІІ. Необґрунтоване встановлення положень відсильного характеру щодо врегулювання відносин за допомогою нормативно-правових актів нижчого рівня 1. Проєктом Закону (новим п. 104 ст. 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» та ч. 3 нової ст. 5¹ Закону України «Про основні засади забезпечення кібербезпеки України») ДССЗІ наділяється повноваженнями визначати: функції, повноваження, загальні вимоги до підрозділів з кіберзахисту та їх співробітників; загальні вимоги до офіцерів з кіберзахисту в державних органах та органах місцевого самоврядування, а також до відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту на об’єктах критичної інфраструктури І і II категорій критичності; загальні вимоги до відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту на обʼєктах критичної інфраструктури ІІІ і IV категорій критичності. Разом з цим проєктом Закону пропонується наділити ДССЗІ повноваженнями щодо призначення офіцера з кіберзахисту на посаду в органах державної влади, а також відповідальної особи, яка виконує функції та завдання офіцера з кіберзахисту на об'єктах критичної інфраструктури І і ІІ категорій критичності. Зазначені положення нового п. 104 ст. 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України» та ч. 3 нової ст. 5¹ Закону України «Про основні засади забезпечення кібербезпеки України» не узгоджуються з ч. 2 ст. 19 Конституції України, якою визначено, що органи державної влади та органи місцевого самоврядування, їх посадові особи зобов’язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України. Отже, визначення основних функцій, повноважень, загальних вимог до підрозділів з кіберзахисту та їх співробітників, загальних вимог до офіцерів з кіберзахисту, а також відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту, є предметом регулювання саме законодавчого акта. Делегування таких повноважень ДССЗІ з одночасним наділенням повноваженнями щодо здійснення погодження їх призначення створює умови для корупційних зловживань. Рекомендація НАЗК: з метою мінімізації виникнення корупційних правопорушень у проєкті Закону визначити основні функції, повноваження, загальні вимоги до підрозділів з кіберзахисту та їх співробітників, загальні вимоги до офіцерів з кіберзахисту, а також відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту.  

Висновок:

проєкт Закону містить корупціогенні фактори та потребує суттєвого доопрацювання.     Голова Національного агентства з питань запобігання корупції                                                                              Олександр НОВІКОВ