Картка проєкту
|
Розробник проєкту постанови: Адміністрація Державної служби спеціального зв’язку та захисту інформації України |
Мета проєкту – удосконалення існуючих процесів ідентифікації об’єктів критичної інформаційної інфраструктури (далі – об’єкти), формування переліку об’єктів та накопичення інформації про них за допомогою державного реєстру об’єктів критичної інформаційної інфраструктури (далі – Реєстр). |
Проєкт постанови надіслано відповідно до § 372 Регламенту Кабінету Міністрів України |
Резюме антикорупційної експертизи
За результатами проведення антикорупційної експертизи Національне агентство ідентифікувало корупціогенні фактори, які можуть зумовити ризик зловживань операторами критичної інфраструктури (далі – оператори) та секторальними органами в сфері захисту критичної інфраструктури (далі – секторальні органи) під час формування переліку об’єктів та внесення об’єктів до Реєстру.
Опис виявлених корупціогенних факторів
- Юридична колізія в законодавстві: суперечність між різними положеннями одного й того самого нормативно-правового акта або між положеннями різних нормативно-правових актів однакової юридичної сили у вирішенні одного й того самого питання, що допускає різне тлумачення норм
1.1. В абз. 1 п. 3 проєкту Порядку формування переліку об’єктів критичної інформаційної інфраструктури (далі – проєкт Порядку формування переліку) передбачено, що оператори проводять ідентифікацію об’єктів, що забезпечують функціонування об’єктів критичної інфраструктури та надання ними основних послуг.
Крім того, в п. 4, абз. 3 п. 6, абзацах 3, 5 п. 8 проєкту Порядку формування переліку та абзацах 4, 5 п. 14 проєкту Порядку внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування (далі – проєкт Порядку внесення об’єктів) вживається формулювання «основних послуг» щодо послуг, які надають об’єкти та які є необхідними як для проведення ідентифікації об’єктів, так і для оцінки їх критичності.
Разом з тим проєктами Порядку формування переліку та Порядку внесення об’єктів не передбачено ані прямих, ані бланкетних норм до інших нормативно-правових актів, спрямованих на регулювання цього питання.
Отже, враховуючи положення аналізованих Порядків, визначення надання об’єктом «основних послуг» є необхідною умовою для оцінки критичності такого об’єкта.
Водночас у п. 19 ч. 1 ст. 1 Закону України «Про основні засади забезпечення кібербезпеки України» визначено, що об’єкт критичної інформаційної інфраструктури – інформаційна, електронна комунікаційна, інформаційно-комунікаційна або технологічна система, яка необхідна для стійкого та безперервного функціонування об’єкта критичної інфраструктури, істотно впливає на безперервність та стійкість процесу надання життєво важливих функцій та/або послуг та відсутній альтернативний об’єкт (спосіб) їх надання.
Відповідно до п. 2 ч. 1 ст. 1 Закону України «Про критичну інфраструктуру» життєво важливі функції та/або послуги – функції та/або послуги, реалізація яких забезпечується органами державної влади, органами місцевого самоврядування, установами, суб’єктами господарювання та організаціями будь-якої форми власності, збої, переривання та порушення надання яких призводять до швидких негативних наслідків для національної безпеки. Також у п. 20 ч. 1 ст. 1 цього Закону передбачено, що рівень критичності об’єкта критичної інфраструктури – відносна міра важливості об’єкта, якою враховується його вплив на можливість виконання життєво важливих функцій та надання життєво важливих послуг.
Слід звернути увагу, що згідно з абз. 2 п. 5 проєкту Порядку формування переліку для оцінки критичності об’єкта інформаційної інфраструктури використовується, зокрема, критерій необхідності об’єкта інформаційної інфраструктури для стійкого та безперервного функціонування об’єкта критичної інфраструктури і надання ним життєво важливих функцій та/або послуг.
Так, зазначене зумовлює невідповідність між різними положеннями проєкту Порядку формування переліку та неузгодженість положень проєктів Порядку формування переліку та Порядку внесення об’єктів з чинними нормативно-правовими актами, що, зокрема, регулюють правові та організаційні засади створення та функціонування національної системи захисту критичної інфраструктури. Зазначене сприяє встановленню непрозорого механізму проведення операторами ідентифікації об’єктів та оцінки їх критичності.
Відповідно, наявність неузгодженостей між зазначеними нормами зумовлює можливість різного тлумачення та вибіркового застосування положень, що своєю чергою сприяє поширенню корупційних практик.
Рекомендація НАЗК:
доопрацювати проєкти Порядку формування переліку та Порядку внесення об’єктів з урахуванням зазначених зауважень.
1.2. Проєктом постанови Кабінету Міністрів України «Про внесення змін до постанови Кабінету Міністрів України від 9 жовтня 2020 р. № 943» (далі – проєкт постанови) пропонується, зокрема, викласти у новій редакції Порядок формування переліку об’єктів критичної інформаційної інфраструктури та Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.
Водночас у порівняльній таблиці до проєкту постанови передбачено затвердити Порядок формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури, а також внесення до нього об’єктів критичної інформаційної інфраструктури. У пояснювальній записці до проєкту постанови в частині викладу основних положень акта вжито таку ж назву цього Порядку.
При цьому в тексті проєкту постанови вживається попередня назва «Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування» замість Порядок формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури, а також внесення до нього об’єктів критичної інформаційної інфраструктури.
Крім того, в абз. 2 п. 6, абз. 2 п. 7 та п. 9 проєкту Порядку формування переліку також використано назву чинної редакції замість запропонованої назви у порівняльній таблиці та пояснювальній записці до проєкту постанови.
Зазначена неузгодженість положень ускладнює практичну реалізацію положень проєкту постанови та створює передумови для застосування суб’єктивних підходів.
Рекомендація НАЗК:
доопрацювати проєкт постанови та проєкт Порядку формування переліку з урахуванням зазначених зауважень.
- Встановлення або розширення дискреційних повноважень органу державної влади чи органу місцевого самоврядування або особи, уповноваженої на виконання функцій держави чи місцевого самоврядування, за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку здійснення таких повноважень, контролю за їх здійсненням та відповідальності за можливі зловживання під час їх здійснення
За результатом аналізу запропонованих змін оператор проводить ідентифікацію об’єктів та оцінку їх критичності (п.п. 3, 4, 5 проєкту Порядку формування переліку). Так, відповідно до абз. 5 п. 5 проєкту Порядку формування переліку об’єкти інформаційної інфраструктури, що відповідають всім трьом критеріям, визначаються оператором як об’єкти критичної інформаційної інфраструктури.
Слід звернути увагу, що згідно з п. 8 чинної редакції Порядку формування переліку об’єктів критичної інформаційної інфраструктури, затвердженого постановою Кабінету Міністрів України від 09.10.2020 № 943, секторальний орган розглядає надані відомості про об’єкти та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити у оператора інформацію стосовно наданих відомостей, зазначених у додатку.
Відповідно до п. 14 чинного Порядку формування переліку Адміністрація Державної служби спеціального зв’язку та захисту інформації (далі – Адміністрація Держспецзв’язку) розглядає надані відомості про об’єкти та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити в секторального органу або у операторів інформацію стосовно наданих відомостей, зазначених у додатку.
Варто зазначити, що неврегульованість у проєкті постанови питань щодо здійснення контролю за результатами проведення ідентифікації об’єкта, що є підставою для внесення інформації про об’єкт до Реєстру, наділяє операторів надмірними дискреційними повноваженнями. Зазначене може стати підґрунтям для формування різної правозастосовної практики та створення сприятливих умов для вчинення корупційних правопорушень.
Рекомендація НАЗК:
доопрацювати проєкт Порядку формування переліку з урахуванням зазначених зауважень.
- Нечітка, з порушенням принципу юридичної визначеності, регламентація прав, обов’язків чи відповідальності юридичних та фізичних осіб у будь-якій сфері правового регулювання
3.1. В абз. 3 п. 6 проєкту Порядку формування переліку передбачено, що у разі відсутності ідентифікованих об’єктів оператори подають інформацію про повну назву об’єктів критичної інфраструктури, щодо яких не ідентифіковано об’єкти, сектори та підсектори, до яких вони входять, перелік основних послуг, які вони надають, категорію критичності, їх реєстрові номери.
При цьому проєктом Порядку формування переліку не передбачено ані прямих, ані бланкетних норм до інших нормативно-правових актів, спрямованих на регулювання питання визначення суб’єкта, до якого оператори подають зазначену інформацію у разі встановлення відсутності ідентифікованих об’єктів.
Вищенаведене порушує принцип правової визначеності і зумовлює ризик довільного та упередженого правозастосування під час подання операторами відповідної інформації.
Рекомендація НАЗК:
доопрацювати проєкт Порядку формування переліку з урахуванням зазначених зауважень.
3.2. Відповідно до абз. 1 п. 7 проєкту Порядку формування переліку оператори протягом 15 робочих днів подають оновлену інформацію про об’єкти до секторальних органів у разі:
зміни інформації про об’єкт, визначеної у п. 14 Порядку внесення об’єктів;
знищення або припинення функціонування об’єкта;
виключення об’єкта критичної інфраструктури, функціонування якого забезпечується об’єктом, з Реєстру об’єктів критичної інфраструктури;
невідповідність такого об’єкта критеріям, визначеним в п. 5 цього Порядку.
Однак у проєкті Порядку формування переліку чітко не врегульовано зазначеної процедури, зокрема відсутні положення стосовно порядку подання оновленої інформації про об’єкти та обрахування строку для подання такої інформації.
Таким чином, абз. 1 п. 7 проєкту Порядку формування переліку сформульований без дотримання принципу правової визначеності та, як наслідок, створює непрозорий механізм практичної реалізації подання операторами оновленої інформації про об’єкти до секторальних органів.
Рекомендація НАЗК:
доопрацювати проєкт Порядку формування переліку з урахуванням зазначених зауважень.
3.3. У п. 18 проєкту Порядку внесення об’єктів передбачено:
«Об’єкт критичної інформаційної інфраструктури виключається Адміністрацією Держспецзв’язку з Реєстру у зв’язку з невідповідністю такого об’єкта критеріям віднесення його до об’єкта критичної інформаційної інфраструктури, визначеним в пункті 5 Порядку формування переліку об’єктів критичної інформаційної інфраструктури.
Об’єкт критичної інформаційної інфраструктури виключається з Реєстру на підставі поданої оновленої інформації про об’єкт критичної інформаційної інфраструктури в якій зазначаються відомості про об’єкт критичної інформаційної інфраструктури, який виключається з Реєстру».
Водночас відповідно до абз. 1 п. 7 проєкту Порядку формування переліку визначено, зокрема, що оператори протягом 15 робочих днів подають оновлену інформацію про об’єкти до секторальних органів.
Варто зазначити, що ані проєктом Порядку формування переліку, ані проєктом Порядку внесення об’єктів не закріплено механізму / процедури виключення Адміністрацією Держспецзв’язку об’єкта з Реєстру, зокрема не визначено порядку та строків надання / отримання оновленої інформації про об’єкт, що порушує принцип правової визначеності та може призвести до упередженого тлумачення змісту норми і, як наслідок, до суб’єктивного та вибіркового підходу до визначення необхідності виключення об’єкта з Реєстру.
Рекомендація НАЗК:
доопрацювати проєкт постанови з урахуванням зазначених зауважень.
- Використання правових конструкцій оціночного характеру та слів, які допускають невичерпність регулювання
В абз. 1 п. 8 проєкту Порядку внесення об’єктів передбачено:
«Для створення електронного кабінету користувачі реєстрової інформації надають до Адміністрації Держспецзв’язку відповідну заявку з інформацією про повну назву посаді, прізвище, власне ім’я, по батькові (за наявності) посадової особи користувача реєстрової інформації.
Адміністрація Держспецзв’язку створює електронні кабінети для користувачів реєстрової інформації з дотриманням мінімально необхідних умов для належного виконання користувачами реєстрової інформації завдань визначених законодавством, про що повідомляє користувачів реєстрової інформації».
Використання у проєкті Порядку внесення об’єктів конструкцій оціночного характеру «відповідна заявка» та «мінімальні необхідні умови» унеможливлює вичерпність та однозначність застосування процедури під час реєстрації користувачів, що потенційно дає змогу довільно трактувати такі вимоги. Зазначене ускладнює практичну реалізацію запропонованих норм.
Рекомендація НАЗК:
доопрацювати п. 8 проєкту Порядку внесення об’єктів з урахуванням зазначених зауважень.
Висновок:
проєкт постанови містить корупціогенні фактори та потребує доопрацювання з урахуванням наданих рекомендацій.
Голова Національного агентства
з питань запобігання корупції Віктор ПАВЛУЩИК
