Законодавство
План кіберзахисту критичної інфраструктури переглядатимуть щороку
Набрала чинності постанова Кабінету Міністрів України «Про внесення змін до постанови Кабінету Міністрів України від 19 червня 2019 р. № 518» від 13 листопада 2025 р. № 1470.
Новою редакцією Загальних вимог, затверджених постановою від 19 червня 2019 р. № 518, визначено організаційно-методологічні умови кіберзахисту об’єктів критичної інфраструктури, що є обов’язковими до виконання операторами критичної інфраструктури та власниками або розпорядниками об’єктів критичної інформаційної інфраструктури (суб’єкти).
Кіберзахист об’єктів критичної інфраструктури забезпечується шляхом здійснення суб’єктами заходів з кіберзахисту з урахуванням результатів управління ризиками кібербезпеки.
Читайте також: Продаж приставок для несанкціонованого перегляду програм мовлення телевізійних каналів не є втручанням у роботу систем чи мереж
З метою належного здійснення заходів з кіберзахисту суб’єкти затверджують, щороку переглядають та за потреби (зокрема у разі зміни рівня ризику кібербезпеки) оновлюють план кіберзахисту.
План кіберзахисту розробляється з урахуванням результатів управління ризиками кібербезпеки на основі каталогу заходів з кіберзахисту та включає описи поточного та/або цільового стану кіберзахисту.
Заходи, передбачені планом кіберзахисту, повинні взаємоузгождуватися з планом захисту об’єкта критичної інфраструктури за проектною загрозою національного рівня «кібератака/кіберінцидент», який погоджується з функціональними органами у сфері захисту критичної інфраструктури відповідно до Порядку розроблення та погодження паспорта безпеки на об’єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 4 серпня 2023 р. № 818.
Суб’єкти поетапно та послідовно досягають цільового стану кіберзахисту шляхом здійснення визначених планом кіберзахисту заходів з кіберзахисту.
Методичні рекомендації щодо здійснення заходів з кіберзахисту затверджуються Адміністрацією Держспецзв’язку.
Суб’єкти забезпечують оцінювання стану кіберзахисту об’єкта критичної інфраструктури та/або об’єктів критичної інформаційної інфраструктури відповідно до порядку оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури (крім систем та об’єктів банків), передбаченого ч. 3 ст. 5 Закону України «Про основні засади забезпечення кібербезпеки України», з урахуванням каталогу заходів з кіберзахисту, особливостей функціонування та архітектури об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури.
Читайте також: Загрози в кіберпросторі
Суб’єкти здійснюють управління ризиками кібербезпеки на постійній та системній основі для запобігання виникненню кіберінциденту та/або реалізації кіберзагрози і мінімізації можливих наслідків у разі настання кіберінциденту та/або реалізації кіберзагрози.
Управління ризиками кібербезпеки здійснюється із застосуванням національних та міжнародних стандартів управління у сфері кібербезпеки та включає:
– організацію управління ризиками кібербезпеки;
– оцінювання ризиків кібербезпеки;
– запобігання ризикам (мінімізація ризиків) кібербезпеки;
– проведення моніторингу і здійснення контролю за ризиками кібербезпеки та перегляд їх актуальності;
– здійснення обміну інформацією про ризики кібербезпеки.
Методика оцінювання ризиків кібербезпеки затверджується Адміністрацією Держспецзв’язку.
Суб’єкти забезпечують реагування на кіберінциденти, кібератаки та кіберзагрози з урахуванням національного плану реагування на кіберінциденти, кібератаки та кіберзагрози, передбаченого ч. 3 ст. 5 Закону України «Про основні засади забезпечення кібербезпеки України».
Керівники з кіберзахисту або відповідальні особи, які виконують функції та завдання керівників з кіберзахисту, або підрозділи з кіберзахисту суб’єктів здійснюють заходи з кіберзахисту, управління ризиками кібербезпеки, реагування на кіберінциденти, кібератаки та кіберзагрози, обмін інформацією про кіберінциденти, кібератаки та кіберзагрози.
Суб’єкти організовують та забезпечують регулярне навчання своїх співробітників з питань кіберзахисту, яке проводиться диференційовано залежно від функціональних обов’язків та з урахуванням професійної кваліфікації співробітників.
Суб’єкти забезпечують планування витрат та фінансування заходів з кіберзахисту з урахуванням результатів управління ризиками кібербезпеки.
Секторальні органи у сфері захисту критичної інфраструктури на основі цих Загальних вимог та каталогу заходів з кіберзахисту можуть розробляти галузеві вимоги з кіберзахисту з урахуванням секторальної (галузевої) специфіки функціонування об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури, які відносяться до сфери їх управління. Такі галузеві вимоги з кіберзахисту погоджуються з Адміністрацією Держспецзв’язку.
Дія цих Загальних вимог не поширюється на Національний банк, банки, інші установи та осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, а також на операторів платіжних систем, їх учасників та технологічних операторів платіжних послуг.
Виключено й Перелік базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури.
Нагадаємо, кібергігієна: інструктажі та тренінги для службовців публічного сектора
Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.
