21 березня 2023 року у ВРУ зареєстровано законопроєкт №9134 «Про внесення змін до Податкового кодексу України щодо забезпечення захисту податкової інформації в Інформаційних системах податкових органів». Його авторами є Н. Южаніна та В. Ар'єв.
Метою проєкту Закону є забезпечення захисту податкової інформації в інформаційних системах податкових органів із застосуванням комплексної системи захисту інформації або системи управління інформаційною безпекою відповідно до міжнародних стандартів із підтвердженою відповідністю згідно зі законодавством про захист інформації в інформаційно-комунікаційних системах та кібербезпеку.
Чому виникла така ініціатива?
Як зазначили автори законопроєкту, останніми роками маємо чимало резонансних випадків розголосу у ЗМІ фактів ручного втручання в роботу Інформаційних систем податкових органів, зокрема СЕА ПДВ, систему моніторингу критеріїв оцінки ризиків (СМКОР) під час реєстрації податкових накладних, систему обліку даних реєстраторів розрахункових операцій (СОД РРО) тощо.
Так, під час роботи Тимчасової слідчої комісії ВРУ стало відомо, що за сприяння посадових осіб ДПСУ у наданні доступу до баз даних ДПС стороннім особам та здійсненні ручного втручання з метою маніпулювання даними у відповідних базах ДПС, несанкціонованого втручання в роботу електронного програмного продукту, що призвело до спотворення процесу обробки інформації, було спричинено тяжкі наслідки державним інтересам у вигляді безпідставно сформованого податкового кредиту з ПДВ в особливо великих розмірах.
Це є наслідком експлуатації в податкових органах Інформаційних систем без застосування комплексної системи захисту інформації або системи управління інформаційною безпекою відповідно до міжнародних стандартів з підтвердженою відповідністю згідно із законодавством про захист інформації в інформаційно-комунікаційних системах та кібербезпеку, що потребує негайного унормування.
Що пропонується?
1) Встановити, що обробка податкової інформації в Інформаційних системах податкових органів повинна здійснюватися із застосуванням комплексної системи захисту інформації або системи управління інформаційною безпекою відповідно до міжнародних стандартів з підтвердженою відповідністю згідно із законодавством про захист інформації в інформаційно-комунікаційних системах та кібербезпеку;
2) визначити, що податкова інформація є власністю держави;
3) покласти обов'язок забезпечення захисту податкової інформації в Інформаційних системах податкових органів на Державну податкову службу;
4) запровадити відповідальність керівника ДПС за експлуатацію Інформаційних систем податкових органів без застосування комплексної системи захисту інформації або системи управління інформаційною безпекою відповідно до міжнародних стандартів з підтвердженою відповідністю згідно із законодавством про захист інформації в інформаційно-комунікаційних системах та кібербезпеку;
5) встановити, що з 1 січня 2026 року податковим органам забороняється обробка податкової інформації в Інформаційних системах без застосування комплексної системи захисту інформації або системи управління інформаційною безпекою відповідно до міжнародних стандартів з підтвердженою відповідністю;
6) Кабінету Міністрів України доручено внести на розгляд ВРУ пропозиції щодо фінансування у 2023 - 2025 роках заходів із захисту податкової інформації в Інформаційних системах податкових органів відповідно до законодавства про захист інформації в інформаційно-комунікаційних системах та кібербезпеку.
Очікується, що цей Закон набере чинності з дня, наступного за днем його опублікування, крім підпункту 2 пункту 2 розділу І (щодо змін до пункту 21.2 статті 21) цього Закону, який набере чинності з 1 січня 2026 року.