19 вересня 2024 Підкомітет з кібербезпеки Європейської Бізнес Асоціації провів розширену зустріч членів асоціації за участі представників Міністерства цифрової трансформації України та Держспецзвʼязку щодо державно-приватного партнерства (ДПП) у сфері кібербезпеки.
Зустріч відбулася за ініціативи юридичної фірми Астерс та за підтримки Аспен Інститут Київ, що реалізує Програму «Діалог про кібербезпеку» у партнерстві з Проєктом USAID «Кібербезпека критично важливої інфраструктури України».
До кінця поточного року Держспецзвʼязку, відповідно до Розпорядження Кабінету Міністрів України, має запропонувати законопроєкт про державно-приватне партнерство у сфері кібербезпеки.
Співголова підкомітету, Юрій Котляров, презентував бачення Астерс, згідно з яким розробка законопроєкту має грунтуватись на розумінні очікувань всіх сторін. Для цього необхідно з’ясувати, які проблеми ми хочемо вирішити, які перешкоди усунути, яких цілей державний та приватний сектор мають досягти, які актуальні для України завдання у сфері кібербезпеки доцільно вирішувати через механізми ДПП.
ДПП – це механізм, де державний та приватний партнери обʼєднують свої ресурси для вирішення конкретних завдань і де обидві сторони мають отримувати свою практичну цінність та конкретні переваги від такого партнерства.
ДПП також має бути альтернативним, а можливо, навіть основним механізмом для посилення спроможностей України з кіберзахисту. У рамках цього механізму має розвиватись сервісна модель державної участі замість моделі, де державний орган є джерелом лише вимог.
Наразі бізнес підтримує побудову процесу розробки законодавчої ініціативи щодо ДПП у сфері кібербезпеки таким чином:
- І етап: оцінка поточної ситуації, у тому числі ключових та актуальних для України напрямів взаємодії (що?), форматів взаємодії (як?) та бар’єрів у взаємодії (що не так?)
- ІІ етап: формулювання правових рішень (як виправити?)
- ІІІ етап: розробка пропозицій до законодавчих актів.
Присутні члени асоціації, CISO компаній обговорили поточні проблемні питання у рамках наявної взаємодії, серед яких:
- Відсутність достатніх правових підстав та процедур для ініціювання та створення окремих моделей взаємодії;
- Відсутність адекватних юридичних форм взаємодії, які б враховували інтереси усіх сторін (чинні меморандуми, договори, або усні домовленості не є інструментами, які забезпечують правомірну, ефективну та адекватну взаємодію);
- Питання розкриття інформації з обмеженим доступом;
- Обмеження щодо використання державного (військового) майна, сервісів, або інших ресурсів;
- Схильність державних органів до звичайних стандартних регуляторних інструментів (вимога, перевірка, санкції) для досягнення певних цілей, виконання завдань;
- Надмірна бюрократизація усіх процесів;
- Низька обізнаність бізнесу щодо можливостей, які можуть бути розвинені у рамках ДПП;
Водночас бізнес звернув увагу на основні завдання, які варто тримати у фокусі при розробці законодавства про ДПП. Зокрема, обмін інформацією та реагування; спільна розробка рекомендацій на реагування; навчання/створення навчальних програм; підвищення кваліфікації/підготовка кадрів та сертифікація; розробка стандартів, консультування, надання сервісів у спеціалізованих питаннях, що потребують певної експертизи, досвіду; розробка технологічних рішень; інфраструктурні проєкти; проєкти з досліджень та розробок.
З боку Європейської Бізнес Асоціації ми вдячні Мінцифри та Держспецзв’язку за відкритий діалог щодо ДПП у сфері кібербезпеки. Наша спільнота готова до активного залучення у напрацюванні нормативно-правового підґрунтя для забезпечення належного розвитку ДПП, що буде win-win рішенням як для приватного, так і для державного сектору.
Окрім цього, в рамках обізнаності щодо можливостей у сфері обміну інформацією та реагування на кіберінциденти Підкомітет з кібербезпеки запланував зустріч членів ЕВА із CERT-UA.
