Закон України "Про критичну інфраструктуру": десять фактів нового документу

Появу Закону очікували вже давно, адже необхідність в нормативно-правовому регулюванні захисту критичної інфраструктури була очевидна. Та чи забезпечить він розв’язання проблеми створення національної системи захисту критичної інфраструктури.

І які плюси та мінуси Закону?

Давайте дивитися разом.

Перше, що треба відзначити: в законі визначено критерії, за якими об’єкт можна віднести до критичної інфраструктури. В першу чергу це значущість об’єкту для реалізації життєво важливих функцій та надання життєво важливих послуг. Визначено чотири категорії критичності об’єктів:

I. Особливо важливі об’єкти, які мають загальнодержавне значення;

II. Життєво важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації регіонального значення;

III. Важливі об’єкти на рівні місцевого значення;

IV. Необхідні об’єкти на рівні локального значення.

Це дозволить побудувати ієрархічну структуру та вирішувати завдання захисту КІ з урахуванням категорії критичності об’єкта критичної інфраструктури.

Важливим є нормативне врегулювання діяльності секторальних органів у сфері захисту критичної інфраструктури, що забезпечує  безпеку і стійкість критичної інфраструктури з урахуванням їх специфіки. Визначено  життєво важливими функції та/або послуги у 17 секторах критичної інфраструктури, порушення яких призводить до негативних наслідків для національної безпеки України.

В пояснювальної записці до законопроекту одним з обґрунтувань його розробки було визначено відсутність державного органу, відповідального за координацію дій у сфері захисту критичної інфраструктури. Законопроект, що був проголосований в першому читанні, містив норми щодо  запровадження інституту регулятора у цій сфері, яким стане Національна комісія з питань захисту критичної інфраструктури - центральний орган виконавчої влади зі спеціальним статусом. Діяльність комісії буде спрямовувати, координувати та контролювати Міністр Кабінету Міністрів України. Але, під час подальшого опрацювання профільними комітетами Верховної Ради та подання законопроекту до другого читання норми законопроекту щодо створення регулятора було скасовано та запропоновано покласти ці обов’язки на вже існуючий державний орган та визначити його уповноваженим органом у сфері захисту КІ. Тепер Кабінет Міністрів України зобов’язаний протягом 3 місяців визначити цей орган. З огляду на високу відповідальність уповноваженого органу та широке коло завдань, це не просте рішення.

Закон помітно «ускладнить життя» для операторів критичної інфраструктури, хоча це, звичайно, необхідні заходи.  Зокрема, оператори повинні будуть забезпечувати захист об’єктів КІ, розробляти паспорти безпеки, плани заходів щодо забезпечення безпеки і стійкості КІ, правила управління ризиками безпеки, плани локалізації та ліквідації наслідків аварій, і навіть заходи по кіберзахисту на об’єктах критичної інфраструктури.

Крім того, за невиконання покладених завдань  у подальшому передбачається застосування штрафних санкцій до операторів об’єктів критичної інфраструктури. Але на сьогодні операторам ні що не загрожує. Форми та розміри цих санкцій має визначити уповноважений орган у сфері захисту КІ протягом року з дня початку ним діяльності та провести це виключно змінами до Закону України "Про критичну інфраструктуру", Кодексу України про адміністративні правопорушення та Кримінального кодексу України. Це тривала робота на не один рік.

У Законі передбачено розробку Національного плану захисту та забезпечення безпеки та стійкості критичної інфраструктури. План затверджується Кабінетом Міністрів України. Інші суб’єкти національної системи захисту критичної інфраструктури також розробляють відповідні плани, які є обов’язковими до виконання. Крім того, в законі визначено, що національна система захисту КІ має взаємодіяти з іншими системами захисту, зокрема з національною системою захисту інформаційних ресурсів в інформаційно-телекомунікаційних системах та з національною системою кібербезпеки. Останні дві ще належить створити.

Один з найбільш дискусійних пунктів в документі стосується можливостей контролю діяльності уповноваженого органу у сфері захисту КІ. По-перше, передбачено зовнішній аудит Рахунковою палатою, що проводиться щорічно. По-друге, Комітети Верховної Ради України, які займаються питаннями національної безпеки і оборони, а також питаннями кібербезпеки, на своїх засіданнях можуть розглянути звіт уповноваженого органу у сфері захисту КІ про результати незалежного аудиту.

По-третє, громадський нагляд у сфері захисту критичної інфраструктури може здійснюватися громадянами України через громадські об’єднання, депутатів місцевих рад, і особисто шляхом звернення до Уповноваженого ВР України з прав людини або до державних органів.

Питання контролю важливе, але якщо щорічно проходити аудит Рахункової палати, то органу може не вистачити часу на виконання покладених на нього завдань.

Закон вводить обов’язкове страхування ризиків при настанні кризової ситуації.  Це має зробити оператор КІ, але перелік об’єктів, включених до Реєстру критичної інфраструктури, та самих типів страхових ризиків, які підлягають страхуванню, затверджуються Кабінетом Міністрів України. Втім, стаття про страхування ризиків набирає чинності лише через три роки з дня набрання чинності Законом про КІ.  Є час опрацювати це важливе та фінансово затратне питання більш ретельно з урахуванням національного та міжнародного досвіду.

Також турбує неоднозначність в можливості залучення бізнесу до інвестування та розбудови національної системи захисту критичної інфраструктури. Законом передбачено запровадження державно-приватного партнерства (далі - ДПП), як один із принципів функціонування та засада державної політики у сфері захисту критичної інфраструктури. Але базовими законами про ДПП та Концесію сфера ІТ (електронні комунікації, кіберзахист , системи управління технологічними процесами тощо) не підпадає до сфери застосування державно-приватного партнерства та кожен раз необхідно доводити, що ІТ проект -  це суспільно значима послуга, отримувати додаткове погодження низки державних органів, що суттєво збільшує  корупційні ризики.

Тобто, назріла гостра необхідність доповнення законодавства про ДПП можливістю ефективного інвестування у сферу ІТ, що, нажаль, залишилось поза межами Закону про КІ.

Слід зазначити, що Закон про КІ скоріше рамковий. Фактично, його можна назвати лише початком довгого  шляху по створенню національної системи захисту критичної інфраструктури. Багато що буде залежати від визначення уповноваженого органу, а також деталізації та ухвалення низки нормативно-правових актів Кабінету Міністрів України,  необхідних для реалізації цього Закону.

Крім того, хоча у прийнятому Законі електронні комунікації належать до життєво важливих функцій, порушення яких призводить до негативних наслідків для національної безпеки України, а оператори телекомунікацій можуть бути визначені як оператори критичної інфраструктури, поки що питання навмисного пошкодження чи крадіжки таких речей як кабелі в мережах операторів зв'язку ніяк не порушуються. А варто сказати, що від таких крадіжок потерпає майже кожний телеком-провайдер. Можливо ці норми будуть встановлені актами Кабінету Міністрів України, але наразі складати прогнози зарано. Адже сам Закон буде введено в дію тільки через шість місяців з дня набрання ним чинності.

Загалом, прийняття Закону є приводом для оптимізму, адже він забезпечує створення національної системи захисту КІ та запроваджує єдині підходи на загальнодержавному, регіональному, галузевому, місцевому та об’єктовому рівнях. Водночас, багато що залежить від його конкретної реалізації. Напевно, перші підсумки можна буде зробити через три місяці, тобто після визначення Кабінетом Міністрів України уповноваженого органу у сфері захисту критичної інфраструктури України.