» Аналітичні матеріали, Новини » Закон України «Про критичну інфраструктуру»: сподівання та реалії

Закон України «Про критичну інфраструктуру»: сподівання та реалії

10 грудня цього року Президент підписав вкрай важливий закон «Про критичну інфраструктуру» (1882-IX.) Робота над цім законопроєктом тривала з 2017 року.

Закон визначає правові та організаційні засади створення та функціонування критичної інфраструктури і є складовою законодавства України у сфері національної безпеки. Він дає основні визначення та, поряд з вже прийнятими Постановами Кабінету Міністрів України, дає підґрунтя для комплексного забезпечення захисту критичної інфраструктури.

Серйозність наслідків ураження критичної інфраструктури важко переоцінити. Так, у травні 2021 року Міністерство транспорту США оголосило надзвичайний стан у декількох штатах через зупинку найбільшого трубопроводу Colonial Pipeline внаслідок кібератаки. Зупинка цього стратегічного підприємства миттєво спричинила економічні наслідки: запаси нафтопродуктів почали зменшуватись, а ціни на них — зростати.

Не обійшлося без гіркого досвіду й в Україні, де у 2017 році розгорнулася масштабна кібератака, що спричинила порушення роботи українських державних підприємств, установ, банків тощо. Внаслідок атаки була заблокована діяльність аеропорту «Бориспіль», ЧАЕС, «Укртелекому», «Укрпошти», «Ощадбанку», «Укрзалізниці» та низки інших великих підприємств. Ураженню піддалися інформаційні системи Міністерства інфраструктури та Кабінету міністрів, сайти Львівської міської ради, Київської міської державної адміністрації, кіберполіції та Служби спецзв’язку України. В результаті було виведено з ладу близько 10% персональних комп’ютерів в Україні — як особистих, так і в державних та недержавних установах і підприємствах. Фактично, 2-3 дня робота безлічі підприємств була частково паралізована. А відновлення даних багатьох бізнес-систем тривало близько місяця. За даними інформаційно-аналітичного дайджесту Науково-дослідного інституту інформатики і права Національної академії правових наук України, це коштувало українській економіці 0,5% ВВП (14,914 млрд грн). Ці та інші приклади спонукають якнайшвидше звернути підвищену увагу на питання захисту критичної інфраструктури.

У пояснювальній записці, що подавалася до законопроєкту, зазначалося про актуалізацію питання захисту систем, об’єктів і ресурсів, які є критично важливими для функціонування суспільства, соціально-економічного розвитку держави, забезпечення національної безпеки та передбачалося запровадити інститут регулятора у цій сфері, яким стане Національна комісія з питань захисту критичної інфраструктури – центральний орган виконавчої влади зі спеціальним статусом. Діяльність Уповноваженого органу буде спрямовувати, координувати та контролювати Міністр Кабінету Міністрів України.

Це цілком відповідало практиці розвинених країн світу, які функціонують на принципах демократії та ринкової економіки, мають достатньо зрілі механізми державного управління та було прийнято за основу учасниками авторського колективу, що працював над законопроєктом.

Саме з таким підходом законопроєкт був проголосований в першому читанні.

Проте під час подальшого опрацювання профільними комітетами Верховної Ради та подання законопроєкту до другого читання норми законопроєкту щодо створення регулятора було скасовано та запропоновано покласти ці обов’язки на вже існуючий державний орган, наприклад, МНС, МВС, ДССЗЗІ, Мінінфраструктури тощо.

Цей підхід також існує у міжнародній практиці, але він характерний для менш розвинених країн, у т.ч. тих, економіка яких знаходиться у перехідних станах, та/або які перебувають у складних безпекових умовах. Це визначено як застосування фрагментарного підходу до захисту важливих інфраструктур, які, за певних умов, можна вважати початковими етапами застосування цілісних підходів.

На мою думку, скасування окремого інституту регулятора пов’язано з недооцінкою реальної важливості захисту критичної інфраструктури.

Чим фрагментарний підхід відрізняється від застосування цілісного підходу? За реалізації фрагментарного підходу буде визначений уповноважений орган із вже існуючих. Завдання щодо критичної інфраструктури буде одним з багатьох, що він вже виконує. Пріоритетність цих завдань буде вирішуватися завдяки ручному керуванню та залежності від обставин.

На відміну від цього, цілісний підход дозволяє визначити одного конкретного відповідального за захист критичної інфраструктури. Він буде зосереджений виключно на цих питаннях та незалежним від відомчих інтересів окремих суб’єктів національної системи захисту критичної інфраструктури.

Розмивання відповідальності та визнання неготовності до застосування цілісного підходу може ускладнити виконання вкрай важливого завдання  щодо захисту критичної інфраструктури.

Ухвалення Закону дуже важливий та правильний крок. Тепер рішення за Кабінетом Міністрів України, у якого є три місяця на те щоб визначити уповноважений орган з питань захисту критичної інфраструктури України з переліку вже існуючих державних органів, або прийняти непросте рішення про створення нового. За бажання та рішучості у своїх діях, окремі норми прийнятого Закону можуть це дозволити.

Дмитро Некраха, експерт з питань кібербезпеки та законного перехоплення телекомунікацій Українського інституту майбутнього