Відсутні критерії для визначення підприємств, які підпадають під дію закону, — Пєтухов про законопроєкт № 8087
У законопроєкті № 8087 відсутні критерії для визначення таких підприємств і державних органів, які підпадають під дію цього закону.
Про це заявив віцепрезидент Української спілки промисловців і підприємців Іван Пєтухов під час засідання 30 червня щодо доопрацювання законопроєкту № 8087 про кіберзахист державних інформаційних ресурсів. Він виступив з доповіддю про порівняння директиви NIS2 та законопроєкту № 8087.
«NIS2 чітко визначає область свого застосування, для чого в директиві чітко визначені критерії, які саме підприємства підпадають під її ціль. І сама вона застосовується для державних, приватних організацій, які кваліфікуються як середні підприємства згідно зі статтею 2 Додатку до рекомендацій 2003 року 361 ЄС, або перевищують розміри самих підприємств», — зазначив віцепрезидент УСПП.
Тобто є діапазон зарплатні спеціаліста з кібербезпеки, саме тому й визначений критерій для підприємств з обігом від 50 до 250 млн доларів в залежності від країни Євросоюзу.
«Чому це зроблено? Тому що вони розуміють, що вартість свого офіцера, співробітника, фахівця з кібербезпеки — це дорого. Це не може бути людина, яка отримує навіть 1000 доларів зарплатні, яка вирішує ті питання. Тому вони ставлять такі обмежувачі», — додав Пєтухов.
За його словами, ця директива не застосовується до органів державного управління, які здійснюють свою діяльність у сфері національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включаючи запобігання, розслідування, виявлення та переслідування кримінальних правопорушень.
«Бо вони розуміють, що виток цієї чутливої інформації може потім по своїм наслідкам бути недобрим. Що ми бачимо у № 8087? Навпаки на базі ДССЗЗІ законопроєктом створюється надорган, який має вплив на оборонний сектор і орган безпеки», — підкреслив він.
Наступний пункт — визнання Європейським Союзом розподільчої системи відповідальних органів за кібербезпеку, що наразі є і в Україні.
«Стаття 41 — держави-члени повинні належним чином оснастити технічними засобами, організаційними можливостями організацію, яка буде цим займатися, або призначити один або більше структур відповідно до дій директиви та забезпечити, щоб вони адекватно мали ресурси та можливості. Ніхто не каже, що це повинен бути один орган. Відкриваємо законопроєкт № 8087. Він створює на базі Держспецзв'язку надорган і впроваджує його диктатуру над усіма. Пункт 1 статті 15 „Права Державної служби та спеціального зв'язку інформації України“ — вимагати в установлені строки шляхом направлення письмового запиту. А жодним чином про жодного тут адвоката чи слідчого судді ніхто нічого не пише. Стаття 103 — встановлення функцій повноважень загальних вимог до підрозділу кіберзахисту та їх співробітників, особливості правового статусу та загальних вимог до спеціалістів з кіберзахисту в установах організацій. 104 — погодження порядку встановлення законодавством призначення офіцерів з кіберзахисту, на яких покладається забезпечення захисту інформації та кіберзахисту в державних органах, установах, організаціях, органах місцевого самоврядування та на об'єктах критичної інфраструктури. Тобто ніхто не може призначити, самостійно взяти свого фахівця. Це не вимагає Європейський Союз. Європейський Союз якраз вимагає іншого», — пояснив спікер.
Також NIS2 пропонує кібергігієну та просвіту замість тоталітарних підходів у суспільстві.
«49 пункт — політика кібергігієни забезпечує основу для захисту мережевої та інформаційної системи інфраструктури, апаратного, програмного забезпечення і так далі. Пункт 50 — поінформованість перед кібербезпекою, кібергігієна є важливими для підвищення рівня кібербезпеки в межах Союзу. Це є головний пункт, який повинен бути у № 8087», — додав віцепрезидент УСПП.
Ще один пункт у NIS2 — пропагування інструментів з відкритим кодом, — завдяки якому державне партнерство з кібербезпеки може забезпечити належну основу для обміну знаннями, передовим досвідом і досягненням спільного рівня та розуміння між зацікавленими сторонами, наголосив Пєтухов.
«Директива акцентує на відкритому обміну інформації. 62 пункт протоколу — доступ до правильної та своєчасної інформації про важливість місць, що впливають на продукти та можливості, сприяє покращенню управління ризиками кібербезпеки. Джерела загальнодоступної інформації про вразливості є важливим інструментом для організації та користувачів їхніх послуг, а також для компетентних органів, щоб заохочувати культуру розкриття можливості розголошення, не повинно мати шкідливих наслідків для фізичних, юридичних осіб, які це повідомляють», — сказав він.
Водночас, за його словами, у законопроєкті № 8087 є тільки функціональна національна система обміну інформації про інциденти кібератаки. «Законопроєкт № 8087 має таке відношення до НIS2, як морська свинка до моря», — наголосив Пєтухов.