29.06.2021 р. в першому читанні був прийнятий за основу Проєкт Закону про критичну інфраструктуру № 5219 (далі – Проєкт), текст якого наразі готується до другого читання.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Прийняття спеціального закону про критичну інфраструктуру – загалом очікуваний крок, оскільки давно назріла потреба подолання фрагментарності та очевидної недостатності нормативно-правового регулювання захисту систем та об’єктів критичної інфраструктури.
На що слід звернути увагу в Проєкті?
Критерії віднесення до об’єктів критичної інфраструктури
Відповідно до положень Проєкту, віднесення об’єктів до критичної інфраструктури здійснюватиметься за сукупністю визначених критеріїв.
Базовим критерієм, незалежно від форми власності, є реалізація життєво важливих функцій або надання життєво важливих послуг, збої, переривання та порушення яких призводить до негативних наслідків для національної безпеки.
Проєктом передбачена деталізація цього критерію. Такими функціями запропоновано вважати:
- урядування та надання найважливіших публічних (адміністративних) послуг;
- енергозабезпечення;
- водопостачання та водовідведення;
- продовольче забезпечення;
- сільське господарство;
- охорону здоров’я;
- фармацевтичну промисловість;
- інформаційні та електронні комунікаційні послуги;
- електронні комунікації, зокрема мобільний зв'язок, радіозв'язок, супутниковий зв'язок та навігація;
- фінансові та банківські послуги;
- транспортне забезпечення;
- оборона;
- правопорядок, здійснення правосуддя, тримання під вартою;
- цивільний захист населення, служби порятунку;
- космічну діяльність, космічні технології та послуги;
- хімічну промисловість;
- дослідницьку діяльність.
Критеріями віднесення до об’єкта критичної інфраструктури також пропонується вважати існування низки ознак. Наприклад, ймовірність завдання значної шкоди нормальним умовам життєдіяльності населення, масштабність негативних наслідків, тривалість ліквідації наслідків та дію подальшого негативного впливу на інші сектори, вплив на функціонування суміжних секторів критичної інфраструктури тощо.
До того ж для об’єктів критичної інфраструктури встановлюються чотири категорії критичності – така категорія визначатиметься для кожного об’єкта секторальними органами залежно від рівня його важливості та зумовлюватиме відповідний рівень вимог до забезпечення захисту такого об’єкта.
Створення регулятора
Передбачається створення регулятора, спеціального уповноваженого органу у сфері захисту критичної інфраструктури – Національної комісії з питань захисту критичної інфраструктури, що буде підпорядкована й підзвітна Кабінету Міністрів України. При цьому звертає на себе увагу і видається доволі неоднозначним закріплення такого повноваження вказаного органу як підготовка висновків та рекомендацій власнику/оператору критичної інфраструктури щодо зміни права власності, цільового призначення чи режиму функціонування об’єкта критичної інфраструктури.
Адміністративно-господарські санкції
Проєктом пропонується застосування адміністративно-господарських санкцій за порушення законодавства у сфері захисту критичної інфраструктури, зокрема штраф, стягнення зборів та доволі дискусійне обмеження або зупинення діяльності суб’єкта господарювання.
Вказані санкції набувають чинності через три роки з дня набрання чинності Законом України «Про критичну інфраструктуру». Автори Проєкту пояснюють таке відтермінування необхідністю дослідження практики застосування відповідного закону, формування правової свідомості власників/операторів об’єктів критичної інфраструктури та деталізації окремих аспектів такої відповідальності.
Парламентський контроль
Ці положення виглядають найбільш непрактичними або ж такими, що відображають бажання депутатів «бути ближче» до регуляторної діяльності.
Проєктом пропонується визначити окремими положеннями повноваження для Комітету національної безпеки та оборони, а також окремо для Комітету цифрової трансформації (в законопроєкті дослівно «Комітет ВРУ, до предмета відання якого належить питання кібербезпеки ОКІ») розглядати звіти регулятора у сфері захисту об’єктів критичної інфраструктури про результати незалежного аудиту діяльності щодо ефективності системи забезпечення захисту критичної інфраструктури. За результатами Комітет (дослівно із законопроєкту) може порушити питання про розгляд цих питань Верховною Радою.
Який практичний сенс, яка роль цього контролю, яка ефективність та яка відповідальність за відсутність ефективності – залишається незрозумілим.
Крім того, навіщо до парламентського контролю включений Комітет цифрової трансформації, тоді як законопроєктом пропонується визначити, що відносини, які виникають у процесі здійснення заходів, спрямованих на забезпечення кіберзахисту та кібербезпеки ОКІ, регулюються окремим законом – також залишається під питанням.
Обов’язкове страхування ризиків
Проєктом передбачається обов'язкове державне страхування ризику фінансових втрат, викликаних кризовою ситуацією, для об’єктів критичної інфраструктури, перелік яких буде затверджений Кабінетом Міністрів України. Водночас початок дії зазначеного положення теж відтермінували – воно має набути чинності лише через три роки з дня набрання чинності Законом України «Про критичну інфраструктуру».
Інше
Проєктом визначаються повноваження секторальних та функціональних органів у сфері захисту критичної інфраструктури, місцевих органів виконавчої влади. До основних функцій Національної гвардії України додається охорона об’єктів критичної інфраструктури та участь у ліквідації наслідків кризових ситуацій на таких об’єктах, а також регламентується взаємодія національної системи захисту критичної інфраструктури з іншими системами захисту та реагування у сфері національної безпеки (зокрема, з Єдиною державною системою цивільного захисту, Національною системою кібербезпеки та іншими).
Запроваджується паспортизація об’єктів критичної інфраструктури. Зазначеному нововведенню кореспондує обов’язок операторів таких об’єктів готувати й подавати уповноваженим органам паспорт безпеки на кожен об'єкт критичної інфраструктури. Оператори об’єктів критичної інфраструктури забезпечують також розробку та затвердження вимог щодо організації захисту об’єктів критичної інфраструктури.
Окрім того, закріплено обов’язок операторів критичної інфраструктури невідкладно інформувати відповідні органи про інциденти, що сталися на таких об'єктах.