• Посилання скопійовано
Документ підготовлено в системі iplex

Про критичну інфраструктуру

Верховна Рада України  | Закон від 16.11.2021 № 1882-IX
Документ підготовлено в системі iplex
3) отримувати від уповноваженого органу у сфері захисту критичної інфраструктури України консультації щодо застосування законодавства у сфері захисту критичної інфраструктури та вжиття необхідних заходів для захисту критичної інфраструктури.
4. Оператори критичної інфраструктури зобов’язані:
1) забезпечити захист об’єктів критичної інфраструктури;
2) невідкладно поінформувати відповідальних суб’єктів національної системи захисту критичної інфраструктури (секторальні та функціональні органи) про інциденти, що сталися на об’єктах критичної інфраструктури, які належать їм на праві власності або на іншій законній підставі;
3) завчасно, але не менше ніж за 30 календарних днів до дати зміни стану об’єкта критичної інфраструктури або його частини, інформувати уповноважений орган у сфері захисту критичної інфраструктури України про наміри змінити цільове призначення, режим функціонування чи намір передати права на об’єкт критичної інфраструктури та виконувати надані їм висновки та рекомендації;
4) щороку надавати інформацію про виконання повноважень відповідно до цього Закону за формою , визначеною Кабінетом Міністрів України.
Розділ V
ОРГАНІЗАЦІЙНІ ЗАСАДИ НАЦІОНАЛЬНОЇ СИСТЕМИ ЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ
Стаття 22. Планування заходів щодо забезпечення стійкості та захисту об’єктів критичної інфраструктури
1. Для організації функціонування національної системи захисту критичної інфраструктури Кабінетом Міністрів України, центральними органами виконавчої влади, місцевими органами виконавчої влади (військово-цивільними адміністраціями - у разі створення), органами місцевого самоврядування розробляються та затверджуються відповідні плани та програми реагування на кризові ситуації.
Кабінет Міністрів України встановлює вимоги щодо управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності, крім банків, інших осіб, які здійснюють діяльність на ринках фінансових послуг, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури, державне регулювання, нагляд за діяльністю яких здійснює Національний банк України, та встановлює вимоги щодо управління ризиками безпеки.
2. На державному рівні розробляється Національний план захисту та забезпечення безпеки та стійкості критичної інфраструктури, який затверджується Кабінетом Міністрів України.
3. На секторальному (галузевому) та регіональному рівнях органи державної влади розробляють і затверджують галузеві, регіональні плани та програми з протидії загрозам критичній інфраструктурі, включаючи аварійні плани, плани реагування на кризові ситуації, плани взаємодії, плани відновлення об’єктів критичної інфраструктури, плани проведення навчань та тренувань.
4. Національна поліція України, Національна гвардія України, Служба безпеки України, Збройні Сили України, Державна служба України з питань надзвичайних ситуацій та інші складові сектору безпеки і оборони у межах компетенції здійснюють планування відповідних заходів із захисту критичної інфраструктури.
5. На місцевому рівні: місцеві органи виконавчої влади (військово-цивільні адміністрації - у разі утворення), органи місцевого самоврядування забезпечують розроблення, затвердження і виконання місцевих програм підвищення стійкості територіальних громад до кризових ситуацій, викликаних припиненням надання чи погіршенням якості важливих для їх життєдіяльності послуг або припиненням здійснення життєво важливих функцій. Такі програми включають заходи із забезпечення безпеки та стійкості критичної інфраструктури, взаємодії суб’єктів національної системи захисту критичної інфраструктури, а також відновлення функціонування об’єктів критичної інфраструктури.
6. На об’єктовому рівні: оператори критичної інфраструктури на кожному об’єкті критичної інфраструктури розробляють та забезпечують виконання об’єктового плану заходів щодо захисту і забезпечення стійкості критичної інфраструктури, який включає заходи з фізичного захисту, протидії загрозам, ефективного зниження та контролю за ризиками безпеки, забезпечення безпеки інформації та кібербезпеки на об’єктах критичної інфраструктури.
7. Плани та програми, затверджені відповідно до цієї статті, є обов’язковими до виконання всіма суб’єктами національної системи захисту критичної інфраструктури.
Стаття 23. Здійснення моніторингу рівня безпеки об’єктів критичної інфраструктури
1. Моніторинг рівня безпеки об’єктів критичної інфраструктури здійснюється шляхом проведення оцінки стану захищеності об’єктів критичної інфраструктури.
Оцінка стану захищеності об’єктів критичної інфраструктури проводиться секторальними та функціональними органами у сфері захисту критичної інфраструктури відповідно до їх повноважень, визначених законом.
2. Метою здійснення моніторингу є встановлення відповідності стану захищеності об’єкта критичної інфраструктури вимогам законодавства, достовірності наданої інформації визначеним суб’єктам національної системи захисту критичної інфраструктури, надання методичної допомоги операторам об’єктів критичної інфраструктури в удосконаленні системи захисту критичної інфраструктури.
3. За результатами проведення моніторингу рівня безпеки готуються пропозиції щодо удосконалення системи захисту об’єктів критичної інфраструктури, оцінки стану безпеки об’єктів критичної інфраструктури секторальними та функціональними органами у сфері захисту критичної інфраструктури. Пропозиції щодо удосконалення системи захисту об’єктів критичної інфраструктури, підготовлені за результатами моніторингу оцінки стану захищеності, є інформацією з обмеженим доступом.
4. Порядок здійснення моніторингу оцінки стану безпеки об’єктів критичної інфраструктури та його періодичність затверджуються Кабінетом Міністрів України.
Стаття 24. Взаємодія національної системи захисту критичної інфраструктури з іншими системами захисту у сфері національної безпеки
1. Для забезпечення безпеки і стійкості критичної інфраструктури до загроз усіх видів, реалізації національних інтересів, функціонування суспільства та забезпечення соціально-економічного розвитку національна система захисту критичної інфраструктури взаємодіє з іншими системами захисту у сфері національної безпеки:
1) з єдиною державною системою запобігання, реагування і припинення терористичних актів та мінімізації їх наслідків, з територіальною та функціональною підсистемами, структурними підрозділами суб’єктів боротьби з тероризмом;
2) з національною системою захисту інформаційних ресурсів в інформаційно-телекомунікаційних системах;
3) з національною системою кібербезпеки;
4) з правоохоронними органами у сфері протидії злочинності, а також з контррозвідувальними та розвідувальними органами у сфері забезпечення державної безпеки;
5) з об’єднаною цивільно-військовою системою організації повітряного руху України;
6) з єдиною державною системою цивільного захисту;
7) з державною системою фізичного захисту з питань охорони і оборони важливих державних об’єктів, захищеності та охорони ядерних установок, ядерних матеріалів, радіоактивних відходів, інших джерел іонізуючого випромінювання державної власності, запобігання диверсіям, крадіжкам або будь-якому іншому неправомірному вилученню радіоактивних матеріалів, протидії незаконному використанню безпілотних літальних апаратів;
8) із системою захисту персональних даних.
2. Взаємодія між державними системами захисту здійснюється у разі загрози виникнення або виникнення:
1) протиправних дій (у тому числі із застосуванням безпілотних літальних апаратів), захоплення об’єктів критичної інфраструктури або важливих державних об’єктів, що загрожують безпеці громадян і порушують функціонування систем життєзабезпечення;
2) диверсій, терористичних актів, викрадення, навмисного знищення, пошкодження майна та інших дій на об’єктах критичної інфраструктури, важливих державних об’єктах, внаслідок яких загинули люди або заподіяно значну матеріальну шкоду;
3) масштабних кібератак, актів кібертероризму проти систем управління, операційних та інших систем об’єктів критичної інфраструктури;
4) надзвичайних ситуацій або інших небезпечних подій на об’єктах критичної інфраструктури та важливих державних об’єктах;
5) аварій та технічних збоїв, кризових ситуацій на об’єктах критичної інфраструктури, що створюють загрозу життю та здоров’ю персоналу таких об’єктів та місцевого населення.
3. Організація взаємодії між суб’єктами національної системи захисту критичної інфраструктури здійснюється шляхом:
1) оперативного обміну інформацією щодо виконання завдань із захисту критичної інфраструктури;
2) проведення спільних оперативних нарад керівного складу уповноваженого органу у сфері захисту критичної інфраструктури України, центральних та територіальних органів Національної поліції України, Служби безпеки України, Національної гвардії України, Збройних Сил України, Державної служби України з питань надзвичайних ситуацій та інших заінтересованих державних органів;
3) здійснення спільних заходів із захисту критичної інфраструктури за планами, що розробляються на загальнодержавному, галузевому, регіональному місцевому та об’єктовому рівнях;
4) проведення спільних командно-штабних, тактико-спеціальних навчань, спільних тренувань та занять із захисту, охорони, оборони, припинення злочинних дій, інцидентів та кібератак проти об’єктів критичної інформаційної інфраструктури;
5) регулярного уточнення розрахунків сил та засобів, що залучаються до спільного виконання завдань із захисту об’єктів критичної інфраструктури та важливих державних об’єктів;
6) спільних заходів з припинення протиправних дій проти об’єктів критичної інфраструктури або важливих державних об’єктів, що загрожують безпеці громадян і порушують функціонування таких об’єктів;
7) участі у реагуванні та ліквідації наслідків інцидентів, кризових ситуацій на об’єктах критичної інфраструктури;
8) координації дій з підтримання або відновлення правопорядку в місцях розташування об’єктів критичної інфраструктури у разі виникнення кризових ситуацій;
9) здійснення інших заходів, передбачених законодавством.
Стаття 25. Державно-приватне партнерство у сфері захисту критичної інфраструктури
1. Державно-приватне партнерство у сфері захисту критичної інфраструктури здійснюється шляхом:
1) обміну інформацією між державними органами, місцевими органами виконавчої влади (військово-цивільними адміністраціями - у разі утворення), органами місцевого самоврядування, операторами критичної інфраструктури, громадськими об’єднаннями, організаціями роботодавців, а також громадянами щодо загроз критичній інфраструктурі та реагування на кризові ситуації;
2) визначення повноважень та відповідальності державних органів і операторів критичної інфраструктури у сфері забезпечення безпеки та стійкості критичної інфраструктури;
3) визначення порядку взаємодії між державними органами та операторами критичної інфраструктури у різних режимах функціонування об’єктів критичної інфраструктури;
4) створення системи підготовки кадрів для сфери захисту критичної інфраструктури;
5) підвищення комплексних знань, навичок і умінь персоналу та керівного складу операторів критичної інфраструктури, персоналу суб’єктів господарювання, які провадять діяльність, пов’язану із забезпеченням безпеки об’єктів критичної інфраструктури, з питань реагування на кризові ситуації на таких об’єктах;
6) залучення експертного потенціалу наукових установ, професійних та громадських об’єднань до підготовки галузевих проектів та нормативно-правових актів у сфері захисту критичної інфраструктури;
7) залучення до виконання завдань із забезпечення сталого функціонування об’єктів критичної інфраструктури суб’єктів господарювання, які провадять діяльність, пов’язану із забезпеченням безпеки об’єктів критичної інфраструктури, громадських об’єднань та професійних організацій;
8) надання державними органами консультативної та практичної допомоги операторам критичної інфраструктури з питань реагування на кризові ситуації на об’єктах критичної інфраструктури;
9) організації забезпечення захисту персоналу об’єктів критичної інфраструктури від можливих загроз;
10) забезпечення резервування основних ресурсів для функціонування критичної інфраструктури у різних режимах;
11) організації системи оповіщення населення та суб’єктів господарювання про інциденти та кризові ситуації на об’єктах критичної інфраструктури;
12) створення системи самооцінки віднесення об’єктів критичної інфраструктури за критеріями, визначеними цим Законом, створення інформаційних ресурсів для підвищення рівня знань із захисту об’єктів критичної інфраструктури;
13) створення механізмів для саморегулювання, обміну інформацією між операторами об’єктів критичної інфраструктури у певному секторі;
14) створення та підтримки розвитку систем сертифікації та оцінки відповідності у секторах критичної інфраструктури.
2. Державно-приватне партнерство у сфері захисту критичної інфраструктури здійснюється з урахуванням установлених законодавством особливостей правового режиму щодо окремих об’єктів критичної інфраструктури та окремих видів діяльності.
3. З метою забезпечення ефективної взаємодії представників громадськості, органів виконавчої влади та реального сектору економіки у формуванні та реалізації єдиної державної політики у сферах забезпечення захисту національних інтересів України у кіберпросторі та захисту об’єктів критичної інфраструктури можуть створюватися консультативно-дорадчі органи, об’єднання та мережі у порядку, встановленому законодавством.
Стаття 26. Проведення незалежного аудиту діяльності національної системи захисту критичної інфраструктури
1. Незалежна зовнішня оцінка діяльності уповноваженого органу у сфері захисту критичної інфраструктури України здійснюється шляхом проведення щорічного зовнішнього аудиту його діяльності. Зовнішній аудит діяльності уповноваженого органу у сфері захисту критичної інфраструктури України проводиться Рахунковою палатою.
2. Незалежна зовнішня оцінка діяльності національної системи захисту критичної інфраструктури здійснюється один раз на три роки Рахунковою палатою у визначеному нею порядку на підставі міжнародних стандартів оцінки.
3. Форма та зміст звіту про зовнішній аудит діяльності уповноваженого органу у сфері захисту критичної інфраструктури України затверджуються Кабінетом Міністрів України з урахуванням вимог цього Закону.
4. Відшкодування витрат, пов’язаних із проведенням щорічного зовнішнього аудиту, здійснюється за рахунок Державного бюджету України.
Стаття 27. Парламентський контроль у сфері захисту критичної інфраструктури
1. Контроль за дотриманням законодавства при здійсненні заходів із забезпечення захисту критичної інфраструктури здійснюється Верховною Радою України в порядку, визначеному Конституцією України. Комітет Верховної Ради України, до предмета відання якого належать питання національної безпеки і оборони, та комітет Верховної Ради України, до предмета відання якого належать питання кібербезпеки об’єктів критичної інформаційної інфраструктури, на своїх засіданнях розглядають звіт уповноваженого органу у сфері захисту критичної інфраструктури України про результати незалежного аудиту діяльності щодо ефективності системи забезпечення захисту критичної інфраструктури.
2. За результатами розгляду звіту уповноваженого органу у сфері захисту критичної інфраструктури України комітет Верховної Ради України, до предмета відання якого належать питання національної безпеки і оборони, може порушити питання про розгляд цих питань Верховною Радою України.
Стаття 28. Громадський нагляд у сфері захисту критичної інфраструктури
1. Право громадського нагляду у сфері захисту критичної інфраструктури реалізується громадянами України через громадські об’єднання, членами яких вони є, через депутатів місцевих рад, особисто шляхом звернення до Уповноваженого Верховної Ради України з прав людини або до державних органів у порядку, встановленому Конституцією України, Законом України "Про громадські об’єднання" та іншими законами України, участі у діяльності громадських рад при органах, що формують та забезпечують реалізацію державної політики у сфері забезпечення захисту критичної інфраструктури, проведення незалежного аудиту їх діяльності, право доступу до публічної частини звіту щодо забезпечення захисту об’єктів критичної інфраструктури.
2. Доступ до інформації у сфері захисту критичної інфраструктури для реалізації громадського нагляду здійснюється у порядку, передбаченому Законом України "Про доступ до публічної інформації", та може бути обмежений виключно Законом України "Про державну таємницю".
Стаття 29. Відповідальність за порушення законодавства у сфері захисту критичної інфраструктури
1. Особи, винні у порушенні законодавства у сфері захисту критичної інфраструктури, несуть відповідальність згідно із законом.
Стаття 30. Фінансування заходів у сфері захисту критичної інфраструктури
1. Джерелами фінансування робіт і заходів із забезпечення захисту критичної інфраструктури є кошти державного і місцевих бюджетів, власні кошти операторів критичної інфраструктури, кредити банків, кошти міжнародної технічної допомоги та інші джерела, не заборонені законодавством.
Стаття 31. Міжнародне співробітництво у сфері захисту критичної інфраструктури
1. Україна відповідно до укладених нею міжнародних договорів здійснює співробітництво у сфері захисту критичної інфраструктури з іноземними державами, їх правоохоронними органами і спеціальними службами, а також з міжнародними організаціями, які здійснюють боротьбу з міжнародною злочинністю та тероризмом.
2. Україна відповідно до міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України, може брати участь у спільних заходах із забезпечення захисту критичної інфраструктури, зокрема у проведенні спільних навчань суб’єктів сектору безпеки і оборони в рамках заходів колективної оборони з дотриманням вимог законів України "Про порядок направлення підрозділів Збройних Сил України до інших держав" та "Про порядок допуску та умови перебування підрозділів збройних сил інших держав на території України".
3. Відповідно до законодавства у сфері зовнішніх зносин суб’єкти національної системи захисту критичної інфраструктури у межах своїх повноважень здійснюють міжнародну співпрацю безпосередньо на двосторонній або багатосторонній основі.
Стаття 32. Страхування ризиків
1. Оператор критичної інфраструктури зобов’язаний забезпечити страхування ризику настання кризової ситуації.
2. Перелік об’єктів критичної інфраструктури, включених до Реєстру, страхових ризиків настання кризової ситуації на таких об’єктах, які підлягають страхуванню, а також мінімальний ліміт відповідальності (у разі страхування відповідальності перед третіми особами) затверджуються Кабінетом Міністрів України, а щодо об’єктів критичної інфраструктури у сфері фінансових послуг - погоджуються з Національним банком України.
Розділ VI
ПРИКІНЦЕВІ ТА ПЕРЕХІДНІ ПОЛОЖЕННЯ
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування, та вводиться в дію через шість місяців з дня набрання ним чинності, крім частини другої статті 32 (щодо страхування об’єктів критичної інфраструктури), яка набирає чинності через три роки з дня набрання чинності цим Законом.
1-1. Установити, що тимчасово, під час дії воєнного стану та протягом двох років після його припинення чи скасування:
1) держава не може бути позбавлена права власності, користування або будь-якого іншого речового права на об’єкти критичної інфраструктури або їх частини чи складові. На об’єкти критичної інфраструктури, які перебувають у власності держави, їх частини або складові не може бути накладено арешт, установлено заборону або будь-які інші обмеження здійснення державою таких прав;
2) не можуть бути витребувані, вилучені або примусово відчужені від держави в інший спосіб частки (акції, паї) у статутних капіталах господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану до набрання чинності цим Законом;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв).
На такі частки (акції, паї) не може бути накладено арешт, установлено заборону або будь-які інші обмеження;
3) не допускається припинення зобов’язань зарахуванням зустрічних однорідних вимог за заявами кредиторів до господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв);
4) не може бути накладено арешт, встановлено заборону або будь-які інші обмеження використання на майно та/або грошові кошти господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв).
Накладений на таке майно та/або грошові кошти арешт, установлені щодо них заборони або інші обмеження підлягають зняттю та/або скасуванню;
5) зупиняється вчинення виконавчих дій та заходів примусового виконання рішень (у тому числі накладення арешту на майно та грошові кошти) у виконавчих провадженнях, за якими боржниками визнані господарські товариства, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв) (крім виконання рішень про виплату заробітної плати, вихідної допомоги, інших виплат (компенсацій), що належать працівнику у зв’язку з трудовими відносинами, про відшкодування матеріальної (майнової) шкоди, завданої каліцтвом, іншим ушкодженням здоров’я або смертю фізичної особи, про стягнення аліментів, про стягнення заборгованості із сплати внесків до фондів загальнообов’язкового державного соціального страхування і заборгованості із сплати єдиного внеску на загальнообов’язкове державне соціальне страхування), крім виконавчих проваджень з примусового виконання рішень за зобов’язаннями, які виникли на підставі правочинів, укладених після дати примусового відчуження часток (акцій, паїв) операторів критичної інфраструктури на користь держави.
Підлягають зняттю арешти, накладені на майно та/або грошові кошти господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв). Для цілей цього пункту під зобов’язаннями, які виникли після дати примусового відчуження часток (акцій, паїв) операторів критичної інфраструктури на користь держави, розуміються зобов’язання, які виникли з підстав, передбачених законом, за винятком зобов’язань, які виникли внаслідок новації, заміни кредитора у зобов’язанні, заміни боржника у зобов’язанні;
6) не допускається відкриття провадження у справах про банкрутство господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв), крім тих, що ліквідуються за рішенням власника;
7) відкриті провадження у справах про банкрутство господарських товариств, які відповідають сукупно таким критеріям:
є оператором критичної інфраструктури;
частки (акції, паї) господарського товариства були примусово відчужені під час дії воєнного стану;
державі у статутному капіталі господарського товариства прямо або опосередковано належить більше 50 відсотків часток (акцій, паїв), крім тих, що ліквідуються за рішенням власника, підлягають закриттю на всіх стадіях провадження у справі про банкрутство (до та після визнання боржника банкрутом).
( Розділ VI доповнено пунктом 1-1 згідно із Законом № 3723-IX від 22.05.2024 )
2. Внести зміни до таких законодавчих актів України:
1) частину другу статті 17 Кодексу цивільного захисту України (Відомості Верховної Ради України, 2013 р., № 34-35, ст. 458) після пункту 53 доповнити п’ятьма новими пунктами такого змісту:
"54) бере участь в реалізації державної політики у сфері захисту критичної інфраструктури шляхом захисту населення і територій від надзвичайних ситуацій, запобігання їх виникненню, ліквідації наслідків надзвичайних ситуацій, гасіння пожеж, здійснення державного нагляду (контролю) за додержанням і виконанням вимог законодавства у сфері цивільного захисту, пожежної та техногенної безпеки;
55) реалізує заходи державної політики у сфері захисту критичної інфраструктури щодо впровадження інженерно-технічних заходів цивільного захисту на об’єктах критичної інфраструктури;
56) бере участь у межах компетенції в оцінці захищеності об’єктів критичної інфраструктури;
57) здійснює заходи щодо постійного та обов’язкового на договірній основі аварійно-рятувального обслуговування суб’єктів господарювання та окремих територій, на яких існує небезпека виникнення надзвичайних ситуацій, віднесених до об’єктів критичної інфраструктури, аварійно-рятувальними службами, що пройшли атестацію в установленому порядку;
58) у взаємодії з Міністерством внутрішніх справ України, Службою безпеки України забезпечує організацію захисту від терористичних посягань об’єктів аварійно-рятувальних служб, які залучаються і виконують свої функції на об’єктах критичної інфраструктури в разі виникнення надзвичайних ситуацій".
У зв’язку з цим пункт 54 вважати пунктом 59;
2) абзац четвертий частини першої статті 5 Закону України "Про оперативно-розшукову діяльність" (Відомості Верховної Ради України, 1992 р., № 22, ст. 303 із наступними змінами) викласти в такій редакції:
"Служби безпеки України - оперативними підрозділами Центрального управління, регіональних органів та органів військової контррозвідки";
3) пункт "б" частини першої статті 38 Закону України "Про місцеве самоврядування в Україні" (Відомості Верховної Ради України, 1997 р., № 24, ст. 170 із наступними змінами) доповнити підпунктом 2-1 такого змісту:
"2-1) вжиття необхідних заходів щодо захисту критичної інфраструктури, відновлення функціонування важливих державних об’єктів національної економіки, об’єктів критичної інфраструктури та об’єктів, які забезпечують життєдіяльність населення, підвищення стійкості громад до кризових ситуацій, викликаних припиненням або погіршенням надання важливих для їх життєдіяльності послуг чи припиненням здійснення життєво важливих функцій, взаємодія між суб’єктами національної системи захисту критичної інфраструктури з урахуванням вимог Закону України "Про критичну інфраструктуру";
4) статтю 25 Закону України "Про місцеві державні адміністрації" (Відомості Верховної Ради України, 1999 р., № 20-21, ст. 190 із наступними змінами) доповнити пунктом 24 такого змісту:
"24) забезпечує захист критичної інфраструктури, відновлення функціонування важливих державних об’єктів національної економіки, об’єктів критичної інфраструктури та об’єктів, які забезпечують життєдіяльність населення, підвищення стійкості громад до кризових ситуацій, викликаних припиненням або погіршенням надання важливих для їх життєдіяльності послуг або припиненням здійснення життєво важливих функцій, взаємодію між суб’єктами національної системи захисту критичної інфраструктури";
5) у статті 7 Закону України "Про Національний банк України" (Відомості Верховної Ради України, 1999 р., № 29, ст. 238 із наступними змінами):
пункт 33 викласти в такій редакції:
"33) забезпечує формування та ведення реєстру об’єктів критичної інформаційної інфраструктури у банківській системі України, визначає критерії та порядок віднесення об’єктів у банківській системі України до об’єктів критичної інформаційної інфраструктури, забезпечує проведення оцінювання стану кіберзахисту та аудиту інформаційної безпеки у банківській системі України";
доповнити пунктом 33-1 такого змісту:
"33-1) забезпечує формування та реалізацію державної політики у сфері захисту критичної інфраструктури щодо банків, інших осіб, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури відповідно до закону, що визначає правові та організаційні засади функціонування і захисту критичної інфраструктури";
6) у пункті 3 статті 16 Закону України "Про правовий режим надзвичайного стану" (Відомості Верховної Ради України, 2000 р., № 23, ст. 176; 2013 р., № 15, ст. 99; 2014 р., № 12, ст. 178) слова "об’єктів, що забезпечують життєдіяльність населення та народного господарства" замінити словами "важливих об’єктів національної економіки та об’єктів критичної інфраструктури";
7) у Законі України "Про Збройні Сили України" (Відомості Верховної Ради України, 2000 р., № 48, ст. 410 із наступними змінами):
частину четверту після слів "до здійснення заходів правового режиму воєнного і надзвичайного стану" доповнити словами "безпеки та захисту критичної інфраструктури", а після слів "ліквідації надзвичайних ситуацій природного і техногенного характеру" - словами "кризових ситуацій";
після частини четвертої доповнити новою частиною такого змісту:
"Збройні Сили України у сфері захисту критичної інфраструктури забезпечують організацію захисту військових об’єктів критичної інфраструктури Збройних Сил України від терористичних загроз, підготовку до застосування військ (сил) Збройних Сил України у разі вчинення терористичного акту в повітряному просторі або територіальному морі України, проведення заходів з підвищення рівня захищеності, усунення ризиків і загроз вибухопожежобезпеки арсеналів, баз та складів Збройних Сил України, виконання завдань з протиповітряного прикриття важливих об’єктів держави (критичної інфраструктури), перелік яких визначається Кабінетом Міністрів України".
У зв’язку з цим частини п’яту - дев’яту вважати відповідно частинами шостою - десятою;
8) у Законі України "Про оборону України" (Відомості Верховної Ради України, 2000 р., № 49, ст. 420 із наступними змінами):
абзац десятий після слів "єдиної державної системи цивільного захисту" доповнити словами "об’єктів критичної інфраструктури";
абзац тринадцятий після слів "підготовку національної економіки" доповнити словами "об’єктів критичної інфраструктури";
в абзаці сьомому статті 9 слова "живучості об’єктів національної економіки та державного управління" замінити словами "живучості важливих об’єктів національної економіки, об’єктів критичної інфраструктури та державного управління";
в абзаці третьому частини першої статті 13 слова "інших об’єктів інфраструктури" замінити словами "інших об’єктів критичної інфраструктури";
9) абзац перший частини першої статті 73 Закону України "Про банки і банківську діяльність" (Відомості Верховної Ради України, 2001 р., № 5-6, ст. 30 із наступними змінами) після слів "масового знищення" доповнити словами "законодавства з питань захисту критичної інфраструктури, кіберзахисту та інформаційної безпеки";
( Підпункт 10 пункту 2 розділу VI втратив чинність на підставі Закону № 1909-IX від 18.11.2021 )
11) абзац четвертий частини четвертої статті 8 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 2005 р., № 26, ст. 347; 2020 р., № 42, ст. 349) замінити двома новими абзацами такого змісту:
"жоден з елементів системи не може бути розташований, а власник такої системи або його офіційний представник не може бути юридичною особою (його представником), зареєстрованою на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на територіях держав, визнаних Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції", та на територіях держав, які входять до митних союзів з такими державами;
власник системи або його представник, який надає послуги з використанням системи, елементи якої розміщуються поза межами України, має бути юридичною особою, зареєстрованою в Україні, або мати свого офіційного представника в Україні".
У зв’язку з цим абзац п’ятий вважати абзацом шостим;
12) у Законі України "Про інформацію" (Відомості Верховної Ради України, 2011 р., № 32, ст. 313 із наступними змінами):
статтю 10 після абзацу десятого доповнити новим абзацом такого змісту:
"критична технологічна інформація".
У зв’язку з цим абзац одинадцятий вважати абзацом дванадцятим;
доповнити статтею 19-1 такого змісту:
"Стаття 19-1. Критична технологічна інформація
1. Критична технологічна інформація - дані, що обробляються (приймаються, передаються, зберігаються) в системах управління технологічними процесами об’єктів критичної інфраструктури.
2. Правовий режим критичної технологічної інформації визначається законами України та міжнародними договорами України, згода на обов’язковість яких надана Верховною Радою України.
3. Критична технологічна інформація за режимом доступу належить до інформації з обмеженим доступом та підлягає захисту згідно із законом";
13) частину другу статті 6 Закону України "Про охоронну діяльність" (Відомості Верховної Ради України, 2013 р., № 2, ст. 8) викласти в такій редакції:
"2. Перелік об’єктів критичної інфраструктури, охорона яких здійснюється державними органами, підприємствами та організаціями, затверджується Кабінетом Міністрів України";
14) пункт 5 частини першої статті 20 Закону України "Про Кабінет Міністрів України" (Відомості Верховної Ради України, 2014 р., № 13, ст. 222; 2021 р., № 29, ст. 234) після абзацу сьомого доповнити трьома новими абзацами такого змісту:
"забезпечує здійснення заходів із запобігання загрозам безпеці критичної інфраструктури та забезпечення безпеки критичної інфраструктури;
забезпечує планування відновлення функціонування критичної інфраструктури у випадках надзвичайних ситуацій, яким не можна запобігти;
забезпечує стійкість критичної інфраструктури до ідентифікованих загроз і небезпек".
У зв’язку з цим абзаци восьмий і дев’ятий вважати відповідно абзацами одинадцятим і дванадцятим;
15) частину першу статті 2 Закону України "Про Національну гвардію України" (Відомості Верховної Ради України, 2014 р., № 17, ст. 594 із наступними змінами) доповнити пунктом 5-1 такого змісту:
"5-1) охорона об’єктів критичної інфраструктури, перелік яких визначається Кабінетом Міністрів України; участь у ліквідації наслідків кризових ситуацій на об’єктах критичної інфраструктури, що нею охороняються";
16) у Законі України "Про Державну службу спеціального зв’язку та захисту інформації України" (Відомості Верховної Ради України, 2014 р., № 25, ст. 890 із наступними змінами):
у частині першій статті 3:
абзац третій після слів "довірчих послуг" доповнити словами "захисту критичної інформаційної інфраструктури";
доповнити абзацами п’ятим - сьомим такого змісту:
"реалізація державної політики щодо захисту критичної технологічної інформації, кіберзахисту об’єктів критичної інформаційної інфраструктури, здійснення державного контролю в цих сферах;
визначення вимог до захисту критичної технологічної інформації, формування загальних вимог до кіберзахисту об’єктів критичної інфраструктури, ведення переліку об’єктів критичної інформаційної інфраструктури, здійснення заходів щодо його оновлення та актуалізації;
виконання інших завдань, передбачених законодавством у сфері забезпечення кібербезпеки та кіберзахисту";
пункт 24 частини першої статті 14 після слів "захисту інформації" доповнити словами "кіберзахисту об’єктів критичної інфраструктури";
17) у Законі України "Про правовий режим воєнного стану" (Відомості Верховної Ради України, 2015 р., № 28, ст. 250; 2021 р., № 41, ст. 339):
частину першу, абзаци перший і другий частини сьомої, друге речення частини восьмої статті 4 після слів "громадської безпеки і порядку" доповнити словами "захисту критичної інфраструктури";
у частині першій статті 8:
у пункті 1 слова "об’єктів державного значення, об’єктів державного значення національної транспортної системи України" замінити словами "об’єктів критичної інфраструктури";
у пункті 2 слова "та сфері забезпечення життєдіяльності населення" і "та системи забезпечення життєдіяльності населення" замінити словами "та захисту критичної інфраструктури";
пункт 9 після слів "посягання на" доповнити словами "стійкість критичної інфраструктури";
частину першу після слів "Про мобілізаційну підготовку та мобілізацію" доповнити словами "Про критичну інфраструктуру";
у пункті 25 частини другої слова "важливих об’єктів національної економіки" замінити словами "об’єктів критичної інфраструктури";
у пункті 7 частини третьої слова "важливих об’єктів національної економіки" замінити словами "об’єктів критичної інфраструктури";
18) у частині першій статті 23 Закону України "Про Національну поліцію" (Відомості Верховної Ради України, 2015 р., № 40-41, ст. 379 із наступними змінами):
пункт 20 доповнити словами "а також об’єктів критичної інфраструктури, перелік яких визначається Кабінетом Міністрів України";
доповнити пунктом 24-1 такого змісту:
"24-1) здійснює у визначеному законом порядку протидію злочинним посяганням на об’єкти критичної інфраструктури, які загрожують безпеці громадян і порушують функціонування систем життєзабезпечення; захист об’єктів критичної інфраструктури, інтересів суспільства і держави від злочинних посягань у кіберпросторі, здійснює заходи із запобігання, виявлення, припинення та розкриття кіберзлочинів проти об’єктів критичної інфраструктури";
19) у Законі України "Про основні засади забезпечення кібербезпеки України" (Відомості Верховної Ради України, 2017 р., № 45, ст. 403; із змінами, внесеними Законом України від 30 червня 2021 року № 1591-IX):
пункт 16 частини першої виключити;
частину другу доповнити реченням такого змісту: "Термін "об’єкт критичної інфраструктури" вживається в цьому Законі у значенні, визначеному Законом України "Про критичну інфраструктуру";
частини першу і другу статті 6 викласти в такій редакції:
"1. Віднесення об’єктів до об’єктів критичної інфраструктури та формування Реєстру об’єктів критичної інфраструктури здійснюються відповідно до Закону України "Про критичну інфраструктуру".
2. Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури, у тому числі щодо застосування індикаторів кіберзагроз, та вимоги до проведення незалежного аудиту інформаційної безпеки затверджуються Кабінетом Міністрів України, а в банківській системі України - Національним банком України";
20) частину четверту статті 3 Закону України "Про національну безпеку України" (Відомості Верховної Ради України, 2018 р., № 31, ст. 241) викласти в такій редакції:
"4. Державна політика у сферах національної безпеки і оборони спрямовується на забезпечення воєнної, зовнішньополітичної, державної, економічної, інформаційної, екологічної безпеки, безпеки критичної інфраструктури, кібербезпеки України та на інші її напрями".
3. До приведення у відповідність із цим Законом законодавчі та інші нормативно-правові акти застосовуються в частині, що не суперечить цьому Закону.
4. Перша щорічна незалежна зовнішня оцінка діяльності уповноваженого органу у сфері захисту критичної інфраструктури України має бути проведена після першого повного календарного року його діяльності починаючи відлік часу з календарного року, у якому такий орган приступив до здійснення своїх повноважень.
Перша незалежна зовнішня оцінка діяльності національної системи захисту критичної інфраструктури має бути проведена після спливу перших трьох календарних років діяльності уповноваженого органу у сфері захисту критичної інфраструктури України.
5. Кабінету Міністрів України:
1) у тримісячний строк з дня набрання чинності цим Законом:
визначити уповноважений орган з питань захисту критичної інфраструктури України;
забезпечити прийняття нормативно-правових актів, необхідних для реалізації цього Закону;
привести свої нормативно-правові акти у відповідність із цим Законом;
забезпечити приведення міністерствами, іншими центральними і місцевими органами виконавчої влади (військово-цивільними адміністраціями - в разі утворення) їх нормативно-правових актів у відповідність із цим Законом;
2) організувати та забезпечити виконання функцій уповноваженого органу з питань захисту критичної інфраструктури України в межах відповідних видатків на поточний рік державного органу, на який покладено такі повноваження;
3) під час підготовки проекту Державного бюджету України на 2022 рік та наступні роки врахувати видатки, необхідні для виконання повноважень (функцій) уповноваженого органу з питань захисту критичної інфраструктури України.
5-1. Установити, що під час дії воєнного стану, а також протягом 12 місяців після його припинення чи скасування повноваження уповноваженого органу у сфері захисту критичної інфраструктури України, передбачені цим Законом, здійснюються Державною службою спеціального зв’язку та захисту інформації України.
( Розділ VI доповнено пунктом 5-1 згідно із Законом № 2684-IX від 18.10.2022 )
5-2. Кабінету Міністрів України протягом 12 місяців після припинення чи скасування воєнного стану визначити уповноважений орган у сфері критичної інфраструктури України.
( Розділ VI доповнено пунктом 5-2 згідно із Законом № 2684-IX від 18.10.2022 )
6. Кабінету Міністрів України протягом трьох років з дня набрання чинності цим Законом забезпечити проведення та завершення перевірки структури власності об’єктів критичної інфраструктури з метою убезпечення належності таких об’єктів фізичним і юридичним особам - громадянам та/або резидентам держави, визнаної Верховною Радою України державою-агресором, або кінцевими бенефіціарними власниками яких є громадяни держави, визнаної Україною державою-агресором або державою-окупантом; юридичним особам, зареєстрованим згідно із законодавством держав, включених FAТF до списку держав, що не співпрацюють у сфері протидії відмиванню доходів, одержаних злочинним шляхом, а також юридичним особам, 50 і більше відсотків статутного капіталу яких належать прямо або опосередковано таким особам.
7. Кабінету Міністрів України до 1 січня 2024 року поінформувати Верховну Раду України про стан виконання цього Закону.
8. Рекомендувати Центральній виборчій комісії, Антимонопольному комітету України, Національному банку України, Національній комісії з цінних паперів та фондового ринку, Національній комісії, що здійснює державне регулювання у сфері зв’язку та інформатизації, Національній комісії, що здійснює державне регулювання у сферах енергетики та комунальних послуг, протягом трьох місяців з дня набрання чинності цим Законом:
привести свої нормативно-правові акти у відповідність із цим Законом;
забезпечити прийняття нормативно-правових актів, необхідних для реалізації цього Закону.
9. Центральному органу виконавчої влади у сфері освіти і науки спільно з уповноваженим органом у сфері захисту критичної інфраструктури України забезпечити проведення науково-дослідної роботи щодо доповнення Переліку галузей знань і спеціальностей, за якими здійснюється підготовка здобувачів вищої освіти, новою позицією у сфері забезпечення стійкості та захисту критичної інфраструктури та до 1 січня 2024 року поінформувати про результати Кабінет Міністрів України і подати проект відповідного рішення та пропозиції щодо програм навчання, підвищення кваліфікації, робочих і навчальних програм.
10. Уповноваженому органу у сфері захисту критичної інфраструктури України щороку починаючи з наступного дня за днем набрання чинності цим Законом забезпечити:
проведення науково-дослідних робіт щодо впливу новітніх і проривних технологій на формування нових індикаторів потенційних ризиків та загроз об’єктам критичної інфраструктури;
перегляд нормативно-правових актів у сфері захисту об’єктів критичної інфраструктури за результатами проведення науково-дослідних робіт;
підготовку рекомендацій для операторів об’єктів критичної інфраструктури за результатами проведення науково-дослідних робіт;
подання пропозицій щодо обсягів бюджетного фінансування для проведення уповноваженим органом у сфері захисту критичної інфраструктури України таких науково-дослідних робіт починаючи відлік часу з календарного року, у якому такий орган приступив до здійснення своїх повноважень;
постійне інформування про результати Кабінету Міністрів України.
11. Уповноваженому органу у сфері захисту критичної інфраструктури України протягом року з дня початку ним діяльності підготувати зміни до Закону України "Про критичну інфраструктуру" в частині визначення форм та розмірів штрафних санкцій до операторів об’єктів критичної інфраструктури, до Кодексу України про адміністративні правопорушення, Кримінального кодексу України в частині визначення видів правопорушень та відповідальності за них.

Президент України

В. ЗЕЛЕНСЬКИЙ

м. Київ
16 листопада 2021 року
№ 1882-IX