Деякі питання об’єктів критичної інфраструктури

Відповідно до частини другої статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України

Затвердити такі, що додаються:

Порядок віднесення об’єктів до об’єктів критичної інфраструктури;

перелік секторів (підсекторів), основних послуг критичної інфраструктури держави;

Методику категоризації об’єктів критичної інфраструктури.

1. Цей Порядок визначає механізм віднесення об’єктів до об’єктів критичної інфраструктури та їх категоризації.

2. Терміни, що вживаються у цьому Порядку, мають таке значення:

безпека об’єкта критичної інфраструктури - стан захищеності об’єкта критичної інфраструктури, за якого забезпечується функціональність і безперервність його роботи та/або можливість надання ним основних послуг;

власник та/або керівник об’єкта критичної інфраструктури (далі - оператор основних послуг) - державний орган, підприємство, установа, організація будь-якої форми власності, юридична та/або фізична особа, якому/якій на правах власності, оренди або на інших законних підставах належить об’єкт критичної інфраструктури або який/яка відповідає за його поточне функціонування;

життєво важливі послуги та функції (далі - основні послуги) - послуги, які надаються, та функції, що виконуються, операторами основних послуг, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України;

захист об’єктів критичної інфраструктури - організаційні, нормативно-правові, інженерно-технічні та інші заходи, спрямовані на забезпечення безпеки об’єктів критичної інфраструктури;

ідентифікація об’єкта критичної інфраструктури - процедура віднесення об’єкта інфраструктури до об’єктів критичної інфраструктури;

категоризація об’єктів критичної інфраструктури - процедура віднесення об’єктів критичної інфраструктури до певної категорії критичності;

категорія критичності об’єкта критичної інфраструктури - ступінь важливості об’єкта критичної інфраструктури, класифікована залежно від його впливу на надання основних послуг;

кризова ситуація - порушення або загроза порушення штатного режиму функціонування критичної інфраструктури чи окремого її об’єкта, реагування на яке потребує залучення додаткових сил і ресурсів;

критична інфраструктура - сукупність об’єктів критичної інфраструктури;

сектор (підсектор) критичної інфраструктури - сукупність об’єктів критичної інфраструктури, які належать до одного сектору (підсектору) економіки та/або мають спільну функціональну спрямованість;

уповноважений орган державної влади, відповідальний за сектор (підсектор) критичної інфраструктури (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах;

час відновлення - час, необхідний для відновлення функціонування об’єкта критичної інфраструктури, в частині надання основних послуг, у штатному режимі після виникнення кризової ситуації, пошкодження або знищення об’єкта.

Інші терміни вживаються у значенні, наведеному в Законах України "Про основні засади забезпечення кібербезпеки України", "Про телебачення і радіомовлення", "Про телекомунікації".

3. Встановлюються такі категорії критичності об’єктів критичної інфраструктури:

I категорія критичності - особливо важливі об’єкти, які мають загальнодержавне значення, значний вплив на інші об’єкти критичної інфраструктури та порушення функціонування яких призведе до виникнення кризової ситуації національного значення;

II категорія критичності - життєво важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації регіонального значення;

III категорія критичності - важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації місцевого значення;

IV категорія критичності - необхідні об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації локального значення.

4. Уповноважені органи, використовуючи перелік секторів (підсекторів), основних послуг критичної інфраструктури, ідентифікують об’єкти критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури.

5. Уповноважені органи разом з операторами основних послуг здійснюють категоризацію об’єктів критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури відповідно до Методики категоризації об’єктів критичної інфраструктури.

6. Відомості про об’єкти критичної інфраструктури, що віднесені до I, II III та IV категорій критичності, вносяться уповноваженими органами до секторальних переліків об’єктів критичної інфраструктури, які ними формуються та ведуться.

7. Уповноважені органи складають зведені переліки всіх об’єктів критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури, що віднесені до I та II категорії критичності, та надають їх уповноваженому органу з питань захисту критичної інфраструктури для формування національного переліку об’єктів критичної інфраструктури.

Уповноважені органи подають оновлені відомості про об’єкти критичної інфраструктури свого сектору (підсектору) критичної інфраструктури до національного переліку об’єктів критичної інфраструктури кожні два роки та протягом одного місяця у разі:

зміни власника або назви об’єкта критичної інфраструктури;

зміни категорії об’єкта критичної інфраструктури;

ліквідації об’єкта критичної інфраструктури.

8. Відомості про об’єкти критичної інфраструктури, що містяться у національному переліку об’єктів критичної інфраструктури та секторальних переліках об’єктів критичної інфраструктури, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.