ЗАКОН УКРАЇНИ
Про критичну інфраструктуру
( Із змінами, внесеними згідно із Законами № 1909-IX від 18.11.2021 № 2684-IX від 18.10.2022 )
Цей Закон визначає правові та організаційні засади створення та функціювання національної системи захисту критичної інфраструктури і є складовою законодавства у сфері національної безпеки.
Розділ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ
Стаття 1. Визначення основних термінів
1. У цьому Законі наведені нижче терміни вживаються в такому значенні:
1) безпека критичної інфраструктури - стан захищеності критичної інфраструктури, за якого забезпечуються функціональність, безперервність роботи, відновлюваність, цілісність і стійкість критичної інфраструктури;
2) життєво важливі функції та/або послуги - функції та/або послуги, реалізація яких забезпечується органами державної влади, органами місцевого самоврядування, установами, суб’єктами господарювання та організаціями будь-якої форми власності, збої, переривання та порушення надання яких призводять до швидких негативних наслідків для національної безпеки;
3) захист критичної інфраструктури - всі види діяльності, що виконуються перед або під час створення, функціонування, відновлення і реорганізації об’єкта критичної інфраструктури, спрямовані на своєчасне виявлення, запобігання і нейтралізацію загроз безпеці об’єктів критичної інфраструктури, а також мінімізацію та ліквідацію наслідків у разі їх реалізації;
4) ідентифікація об’єкта критичної інфраструктури - процедура віднесення об’єкта інфраструктури до об’єктів критичної інфраструктури;
5) інцидент безпеки критичної інфраструктури (далі - інцидент) - подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки несанкціонованого втручання в функціонування об’єкта критичної інфраструктури, які становлять загрозу його безпеці, системі управління технологічними процесами об’єкта критичної інфраструктури, створюють ймовірність порушення штатного режиму функціонування такого об’єкта (у тому числі зриву та/або блокування роботи, та/або несанкціонованого управління його ресурсами), ставлять під загрозу його захищеність;
6) категоризація об’єктів інфраструктури - віднесення об’єктів інфраструктури до категорій критичності об’єктів інфраструктури;
7) категорія критичності (критерії) об’єкта критичної інфраструктури - ступінь (відносний рівень) важливості об’єкта критичної інфраструктури, класифікована (категоризована) залежно від його впливу на виконання життєво важливих функцій та/або надання життєво важливих послуг;
8) кризова ситуація - порушення або загроза порушення штатного режиму функціонування критичної інфраструктури чи окремого її об’єкта, реагування на яке потребує залучення додаткових сил і ресурсів;
9) критична інфраструктура - сукупність об’єктів критичної інфраструктури;
10) критична технологічна інформація - дані, що обробляються (приймаються, передаються, зберігаються) в системах управління технологічними процесами об’єктів критичної інфраструктури;
11) національна система захисту критичної інфраструктури - сукупність органів управління, сил та засобів центральних і місцевих органів виконавчої влади (військово-цивільних адміністрацій - у разі утворення), органів місцевого самоврядування, операторів критичної інфраструктури, на які покладається формування та/або реалізація державної політики у сфері захисту критичної інфраструктури;
12) несанкціоноване втручання - незаконні дії, що створили загрозу безпечному функціонуванню об’єкта критичної інфраструктури та призвели до одного або декількох з таких наслідків: порушили його безперервність і стійкість; створили реальні чи потенційні загрози для населення, суспільства, соціально-економічного стану, національної безпеки і оборони України;
13) об’єкти критичної інфраструктури - об’єкти інфраструктури, системи, їх частини та їх сукупність, які є важливими для економіки, національної безпеки та оборони, порушення функціонування яких може завдати шкоди життєво важливим національним інтересам;
14) оператор критичної інфраструктури - юридична особа будь-якої форми власності та/або фізична особа - підприємець, що на правах власності, оренди або на інших законних підставах здійснює управління об’єктом критичної інфраструктури та відповідає за його поточне функціонування;
15) охорона об’єктів критичної інфраструктури - комплекс режимних, інженерних, інженерно-технічних та інших заходів (крім заходів із захисту інформації та кіберзахисту об’єктів критичної інформаційної інфраструктури), які організовуються і проводяться суб’єктами національної системи захисту критичної інфраструктури з метою запобігання та/або недопущення чи припинення протиправних дій (актів несанкціонованого втручання) на об’єктах критичної інфраструктури;
16) паспорт безпеки - документ встановленої форми, який містить відомості про об’єкт критичної інфраструктури, а також комплекс заходів, що вживаються для захисту цього об’єкта від визначених для нього видів загроз (відомості, що містяться у паспорті безпеки, є інформацією з обмеженим доступом);
17) проектна загроза об’єкту критичної інфраструктури - документ встановленої форми, який визначає властивості, характеристики реальних і потенційних загроз об’єкту критичної інфраструктури, на зниження ймовірності реалізації яких має бути спрямовано функціонування системи захисту критичної інфраструктури;
18) реєстр об’єктів критичної інфраструктури - автоматизована система, що містить перелік найбільш важливої для життєдіяльності суспільства та держави критичної інфраструктури, щодо якої встановлюються особливі вимоги із забезпечення її безпеки та стійкості і здійснюється моніторинг їх дотримання;
19) режим функціонування критичної інфраструктури - визначені оператором умови та вимоги до функціонування критичної інфраструктури залежно від стану і динаміки розвитку ситуації (штатний режим функціонування; режим функціонування у кризовій ситуації; режим відновлення);
20) рівень критичності об’єкта критичної інфраструктури - відносна міра важливості об’єкта, якою враховується його вплив на можливість виконання життєво важливих функцій та надання життєво важливих послуг;
21) сектор критичної інфраструктури - сукупність об’єктів критичної інфраструктури, які належать до одного сектору (галузі) економіки та/або мають спільну функціональну спрямованість;
22) секторальний орган у сфері захисту критичної інфраструктури - державний орган, визначений законодавством відповідальним за забезпечення формування та реалізації державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури;
23) стійкість критичної інфраструктури - стан критичної інфраструктури, за якого забезпечується її спроможність функціонувати у штатному режимі, адаптуватися до умов, що постійно змінюються, протистояти та швидко відновлюватися після впливу загроз будь-якого виду;
24) функціональний орган у сфері захисту критичної інфраструктури - державний орган, визначений відповідальним за функціонування окремих державних систем захисту та реагування.
Стаття 2. Законодавство про критичну інфраструктуру та її захист
1. Законодавство про критичну інфраструктуру та її захист складають Конституція України, цей Закон, інші закони України, міжнародні договори України, згода на обов’язковість яких надана Верховною Радою України, інші нормативно-правові акти, прийняті на виконання цього Закону.
Стаття 3. Сфера застосування цього Закону
1. Цей Закон регулює відносини у сфері функціонування та захисту критичної інфраструктури в цілому та її об’єктів у мирний час.
2. Особливості захисту та правового режиму об’єктів критичної інфраструктури в умовах надзвичайних ситуацій, надзвичайного та воєнного стану, особливого періоду регулюються законами України "Про правовий режим воєнного стану", "Про правовий режим надзвичайного стану", "Про функціонування єдиної транспортної системи України в особливий період" та "Про оборону України".
3. Окремим законом регулюються відносини щодо забезпечення кіберзахисту та кібербезпеки об’єктів критичної інфраструктури.
Розділ II
ОСНОВНІ ЗАСАДИ ДЕРЖАВНОЇ ПОЛІТИКИ У СФЕРІ ЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ
Стаття 4. Засади державної політики у сфері захисту критичної інфраструктури
1. Захист критичної інфраструктури є складовою частиною забезпечення національної безпеки України.
2. Державна політика у сфері захисту критичної інфраструктури ґрунтується на засадах:
1) визнання необхідності забезпечення безпеки та стійкості критичної інфраструктури;
2) визначення законодавчих вимог до принципів, пріоритетів, стратегічних завдань, підходів щодо захисту критичної інфраструктури;
3) визначення суб’єктів національної системи захисту критичної інфраструктури, їх повноважень та засад відповідальності, порядку взаємодії;
4) створення умов та впровадження заходів, спрямованих на ефективне зниження і контроль за ризиками безпеки, на зниження ризику реалізації можливих загроз, ліквідацію та/або мінімізацію наслідків реалізованих загроз, кризових ситуацій та інших їх видів;
5) створення системи раннього виявлення загроз критичній інфраструктурі;
6) запровадження державно-приватного партнерства, взаємодії суб’єктів господарювання та населення з питань забезпечення захисту та стійкості критичної інфраструктури;
7) забезпечення міжнародного співробітництва у сфері захисту критичної інфраструктури;
8) створення умов швидкого відновлення надання життєво важливих функцій та послуг у разі реалізації загроз і порушення функціонування критичної інфраструктури.
3. Державна політика у сфері захисту критичної інфраструктури спрямовується на формування комплексу організаційних, нормативно-правових, інженерно-технічних, ресурсних, інформаційно-аналітичних та методологічних заходів, спрямованих на забезпечення безпеки критичної інфраструктури.
Стаття 5. Мета та завдання державної політики у сфері захисту критичної інфраструктури
1. Метою державної політики у сфері захисту критичної інфраструктури є забезпечення безпеки об’єктів критичної інфраструктури, запобігання проявам несанкціонованого втручання в їх функціонування, прогнозування та запобігання кризовим ситуаціям на об’єктах критичної інфраструктури.
2. До завдань формування і реалізації державної політики у сфері захисту критичної інфраструктури належать:
1) запобігання проявам несанкціонованого втручання в її функціонування, прогнозування та запобігання кризовим ситуаціям на об’єктах критичної інфраструктури;
2) попередження кризових ситуацій, що порушують безпеку критичної інфраструктури;
3) створення, впровадження, розвиток та забезпечення функціонування національної системи захисту критичної інфраструктури, у тому числі шляхом визначення уповноваженого органу у сфері захисту критичної інфраструктури України, а також визначення повноважень у сфері захисту критичної інфраструктури інших суб’єктів національної системи захисту критичної інфраструктури;
( Пункт 3 частини другої статті 5 із змінами, внесеними згідно із Законом № 2684-IX від 18.10.2022 )
4) розроблення нормативно-правової та нормативно-технічної бази з питань забезпечення безпеки об’єктів критичної інфраструктури;
5) розроблення та реалізація державних цільових програм із захисту критичної інфраструктури;
6) розроблення комплексу заходів з контролю за ризиками безпеки, виявлення, запобігання та ліквідації наслідків інцидентів безпеки на об’єктах критичної інфраструктури;
7) встановлення обов’язкових вимог із забезпечення безпеки об’єктів критичної інфраструктури, їх захищеності на всіх етапах життєвого циклу, у тому числі під час створення, прийняття в експлуатацію, модернізації;
8) аналіз викликів та загроз, що впливають на стійкість критичної інфраструктури, оцінка стану її захищеності;
9) розроблення методології аналізу результативності державної політики у сфері захисту критичної інфраструктури;
10) підготовка, перепідготовка, підвищення кваліфікації, тренування працівників національної системи захисту критичної інфраструктури;
11) забезпечення взаємодії національної системи захисту критичної інфраструктури з відповідними міжнародними системами, насамперед європейськими та євроатлантичними.
Стаття 6. Основні принципи функціонування національної системи захисту критичної інфраструктури
1. До основних принципів функціонування національної системи захисту критичної інфраструктури належать:
1) єдність методологічних засад;
2) координованість;
3) державно-приватне партнерство;
4) безпека, захист та охорона інформації з обмеженим доступом;
5) міжнародне співробітництво.
Стаття 7. Рівні управління національною системою захисту критичної інфраструктури
1. Національна система захисту критичної інфраструктури має такі рівні управління:
1) загальнодержавний рівень, управління на якому здійснюється Кабінетом Міністрів України, уповноваженим органом у сфері захисту критичної інфраструктури України, органами державної влади відповідно до розподілу повноважень згідно з цим Законом, іншими центральними органами виконавчої влади та державними органами, Національним банком України;
2) регіональний та галузевий рівні, управління на яких здійснюється центральними та місцевими органами виконавчої влади, визначеними в установленому законом порядку відповідальними за забезпечення формування та реалізацію державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури та відповідальними за функціонування окремих державних систем захисту та реагування;
3) місцевий рівень, управління на якому здійснюється місцевими органами виконавчої влади (військово-цивільними адміністраціями - у разі створення), органами місцевого самоврядування в межах повноважень, покладених на них цим Законом;
4) об’єктовий рівень, управління на якому здійснюється оператором критичної інфраструктури на підставі нормативно-правових та регуляторних актів у сфері захисту критичної інфраструктури.
Розділ III
КРИТИЧНА ІНФРАСТРУКТУРА УКРАЇНИ
Стаття 8. Віднесення об’єктів до критичної інфраструктури
1. Віднесення об’єктів до критичної інфраструктури здійснюється в порядку, встановленому Кабінетом Міністрів України.
Віднесення банків, інших об’єктів, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, платіжних організацій, учасників платіжних систем, операторів послуг платіжної інфраструктури здійснюється в порядку, встановленому Національним банком України.
Віднесення об’єктів до критичної інфраструктури, що здійснюють діяльність на ринках послуг, державне регулювання та нагляд за діяльністю яких здійснюють державні органи, здійснюється в порядку, встановленому такими державними органами.
2. Віднесення об’єктів до критичної інфраструктури здійснюється за сукупністю критеріїв, що визначають їх соціальну, політичну, економічну, екологічну значущість для забезпечення оборони країни, безпеки громадян, суспільства, держави і правопорядку, зокрема для реалізації життєво важливих функцій та надання життєво важливих послуг, свідчать про існування загроз для них, можливість виникнення кризових ситуацій через несанкціоноване втручання в їх функціонування, припинення функціонування, людський фактор чи природні лиха, тривалість робіт для усунення таких наслідків до повного відновлення штатного режиму.
3. До таких критеріїв належать:
1) виконання функцій із забезпечення життєво важливих національних інтересів;
2) існування викликів і загроз, що можуть виникати щодо об’єктів критичної інфраструктури;
3) ймовірність завдання значної шкоди нормальним умовам життєдіяльності населення;
4) уразливість таких об’єктів, тяжкість можливих негативних наслідків, внаслідок чого буде заподіяна значна шкода здоров’ю населення (визначається кількістю постраждалих, загиблих та осіб, які отримали значні травми, а також чисельністю евакуйованого населення); соціальній сфері (руйнація систем соціального захисту населення і надання соціальних послуг, втрата спроможності держави задовольнити критичні потреби суспільства); державному суверенітету (зниження обороноздатності, дискредитація іміджу країни, дестабілізація системи державного управління та унеможливлення виконання державою своїх функцій); економіці (вплив на внутрішній валовий продукт, розмір економічних втрат, як прямих, так і непрямих); природним ресурсам загальнодержавного та місцевого значення;
5) масштабність негативних наслідків для держави, які впливають на діяльність стратегічно важливих об’єктів для кількох секторів життєзабезпечення чи призводять до втрати унікальних національно значущих активів, систем і ресурсів, матимуть тривалі наслідки для держави і позначаться на діяльності ряду інших секторів;
6) тривалість ліквідації таких наслідків та дія подальшого негативного впливу на інші сектори держави;
7) вплив на функціонування суміжних секторів критичної інфраструктури.
4. Об’єкти критичної інфраструктури, що не можуть належати:
фізичним і юридичним особам - громадянам та/або резидентам держави, визнаної Верховною Радою України державою-агресором, або кінцевими бенефіціарними власниками яких є громадяни держави, визнаної Україною державою-агресором або державою-окупантом;
юридичним особам, зареєстрованим згідно із законодавством держав, включених FAТF до списку держав, що не співпрацюють у сфері протидії відмиванню доходів, одержаних злочинним шляхом, а також юридичним особам, 50 і більше відсотків статутного капіталу яких належать прямо або опосередковано таким особам, протягом року підлягають відчуженню.
Стаття 9. Сектори критичної інфраструктури
1. Для організації ефективного забезпечення безпеки і стійкості критичної інфраструктури з урахуванням специфіки забезпечення окремих життєво важливих функцій та/або послуг визначаються сектори критичної інфраструктури.
2. Для секторів критичної інфраструктури визначаються особливості реалізації державної політики у сфері захисту критичної інфраструктури. Формування та реалізацію державної політики у відповідних секторах здійснюють секторальні органи у сфері захисту критичної інфраструктури.
Секторальні органи у сфері захисту критичної інфраструктури складають та ведуть секторальні переліки об’єктів критичної інфраструктури.
3. Перелік секторів критичної інфраструктури та суб’єктів, відповідальних за формування та реалізацію державної політики у відповідних секторах національної системи захисту критичної інфраструктури (далі - Перелік), визначається Кабінетом Міністрів України. У разі необхідності внесення змін до Переліку Кабінет Міністрів України переглядає та змінює його виходячи з критеріїв критичності, визначених цим Законом.
4. До життєво важливих функцій та/або послуг, порушення яких призводить до негативних наслідків для національної безпеки України, належать, зокрема:
1) урядування та надання найважливіших публічних (адміністративних) послуг;
2) енергозабезпечення (у тому числі постачання теплової енергії);
3) водопостачання та водовідведення;
4) продовольче забезпечення;
5) охорона здоров’я;
6) фармацевтична промисловість;
7) виготовлення вакцин, стале функціонування біолабораторій;
8) інформаційні послуги;
9) електронні комунікації;
10) фінансові послуги;
11) транспортне забезпечення;
12) оборона, державна безпека;
13) правопорядок, здійснення правосуддя, тримання під вартою;
14) цивільний захист населення та територій, служби порятунку;
15) космічна діяльність, космічні технології та послуги;
16) хімічна промисловість;
17) дослідницька діяльність.
Стаття 10. Категоризація об’єктів критичної інфраструктури
1. Для визначення рівня вимог щодо забезпечення захисту об’єктів критичної інфраструктури відповідно до рівня їх важливості для забезпечення окремих життєво важливих функцій у межах секторів критичної інфраструктури здійснюється категоризація об’єктів критичної інфраструктури відповідно до категорій критичності, визначених цим Законом.
2. Установлюються такі категорії критичності об’єктів критичної інфраструктури:
1) I категорія критичності - особливо важливі об’єкти, які мають загальнодержавне значення, значний вплив на інші об’єкти критичної інфраструктури та порушення функціонування яких призведе до виникнення кризової ситуації державного значення;
2) II категорія критичності - життєво важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації регіонального значення;
3) III категорія критичності - важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації місцевого значення;
4) IV категорія критичності - необхідні об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації локального значення.
3. Категоризація об’єктів критичної інфраструктури здійснюється секторальними органами у сфері захисту критичної інфраструктури відповідно до секторальної специфіки та вимог секторального законодавства.
4. Секторальні органи разом з операторами критичної інфраструктури здійснюють категоризацію об’єктів критичної інфраструктури своїх секторів (підсекторів) критичної інфраструктури відповідно до Методики категоризації об’єктів критичної інфраструктури, що затверджується Кабінетом Міністрів України, а в банківській та фінансовій системах - Національним банком України, у сферах, державне регулювання та нагляд за діяльністю яких здійснюють державні органи, - такими державними органами.
Стаття 11. Реєстр об’єктів критичної інфраструктури
1. Для цілей узгодження дій суб’єктів національної системи захисту критичної інфраструктури формується Реєстр об’єктів критичної інфраструктури (далі - Реєстр).
2. Збирання, узагальнення, попередній аналіз даних щодо об’єктів критичної інфраструктури та пропозиції щодо включення таких об’єктів до Реєстру в межах визначених секторів здійснюються секторальними органами у сфері захисту критичної інфраструктури.
3. Реєстр формується та ведеться уповноваженим органом у сфері захисту критичної інфраструктури України на основі пропозицій суб’єктів національної системи захисту критичної інфраструктури.
4. Після включення об’єкта до Реєстру секторальні органи у сфері захисту критичної інфраструктури повідомляють про це оператора об’єкта критичної інфраструктури для забезпечення паспортизації та захисту об’єкта критичної інфраструктури відповідно до вимог цього Закону.
5. Порядок ведення Реєстру, включення об’єктів до Реєстру, доступу та надання інформації з нього визначається Кабінетом Міністрів України.
6. Інформація про об’єкти критичної інфраструктури, що міститься в Реєстрі, є відкритою, загальнодоступною та безоплатною, крім інформації з обмеженим доступом. Розпорядник забезпечує цілодобовий доступ до відкритої інформації Реєстру на своєму офіційному веб-сайті.
7. Для посадових осіб суб’єктів національної системи захисту критичної інфраструктури, визначених статтею 14 цього Закону, інформація з Реєстру у зв’язку із здійсненням ними повноважень, передбачених законом, надається за суб’єктом права чи за об’єктом критичної інфраструктури в електронній формі шляхом безпосереднього доступу до Реєстру, за умови ідентифікації відповідної посадової особи у порядку, встановленому Законом України "Про електронні довірчі послуги".
Стаття 12. Паспортизація об’єктів критичної інфраструктури
1. З метою проведення аналізу можливих основних загроз та потенційних негативних наслідків для об’єктів критичної інфраструктури, запобігання та попередження виникнення таких загроз для критичної інфраструктури оператори об’єктів критичної інфраструктури готують і подають на погодження до відповідних секторальних органів у сфері захисту критичної інфраструктури, відповідного функціонального органу паспорт безпеки на кожний об’єкт критичної інфраструктури.
2. Паспорт безпеки на об’єкт критичної інфраструктури містить інформацію про ідентифікацію об’єкта та заходи щодо його захисту і безпеки, а також визначає перелік посад та відповідальних осіб, до завдань яких належать зв’язок та обмін інформацією з суб’єктами національної системи захисту критичної інфраструктури.
3. Паспорт безпеки розробляється (переглядається) з урахуванням визначених проектних загроз. Погодження паспорта безпеки на об’єкт критичної інфраструктури здійснюється безоплатно для усіх операторів об’єктів критичної інфраструктури незалежно від форми власності.
4. Вимоги до порядку розроблення та погодження паспорта безпеки на об’єкт критичної інфраструктури, його наповнення, зміст, порядок і строки подання встановлюються Кабінетом Міністрів України.
5. Національний банк України визначає з урахуванням вимог цього Закону порядок розроблення паспорта безпеки на об’єкти критичної інфраструктури, зміст і строки подання його банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, платіжними організаціями, учасниками платіжних систем, операторами послуг платіжної інфраструктури.
6. Оператор критичної інфраструктури несе відповідальність за достовірність даних, наведених у паспорті безпеки, своєчасність внесення до нього змін.
7. Відомості, що містяться у паспорті безпеки, є інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Розділ IV
НАЦІОНАЛЬНА СИСТЕМА ЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ
Стаття 13. Формування та реалізація державної політики у сфері захисту критичної інфраструктури
1. Кабінет Міністрів України забезпечує проведення державної політики у сфері захисту критичної інфраструктури України, організовує та забезпечує необхідними силами, засобами і ресурсами функціонування національної системи захисту критичної інфраструктури, визначає уповноважений орган з питань захисту критичної інфраструктури України.
2. Формування та реалізацію державної політики в окремих секторах критичної інфраструктури здійснюють секторальні та функціональні органи у сфері захисту критичної інфраструктури відповідно до визначених законом повноважень.
3. Формування та реалізацію державної політики у сфері захисту критичної інфраструктури, координацію діяльності суб’єктів національної системи захисту критичної інфраструктури забезпечує уповноважений орган у сфері захисту критичної інфраструктури України.
( Частина третя статті 13 в редакції Закону № 2684-IX від 18.10.2022 )
4. Для забезпечення обміну інформацією та взаємодії суб’єктів національної системи захисту критичної інфраструктури Кабінет Міністрів України затверджує Регламент обміну інформацією.
5. Обмін інформацією в рамках функціонування національної системи захисту критичної інфраструктури здійснюється відповідно до вимог законодавства у сфері захисту інформації.
Стаття 14. Суб’єкти національної системи захисту критичної інфраструктури
1. Суб’єктами національної системи захисту критичної інфраструктури є:
1) Кабінет Міністрів України;
2) Апарат Ради національної безпеки і оборони України;
3) Центральна виборча комісія;
4) Національний банк України;
5) Національна комісія з цінних паперів та фондового ринку, Національна комісія, що здійснює державне регулювання у сфері зв’язку та інформатизації, Національна комісія, що здійснює державне регулювання у сферах енергетики та комунальних послуг;
6) Адміністрація Державної служби спеціального зв’язку та захисту інформації України;
7) Фонд державного майна України, інші центральні органи виконавчої влади із спеціальним статусом;
8) уповноважений орган у сфері захисту критичної інфраструктури України;
9) центральний орган виконавчої влади, який забезпечує формування та реалізує державну політику у сфері цивільного захисту;
10) секторальні та функціональні органи, інші міністерства та центральні органи виконавчої влади;
11) Служба безпеки України;
12) правоохоронні та розвідувальні органи, суб’єкти оперативно-розшукової та контррозвідувальної діяльності;
13) Збройні Сили України, інші військові формування, утворені відповідно до законів України;
14) місцеві органи виконавчої влади (військово-цивільні адміністрації - у разі утворення);
15) органи місцевого самоврядування;
16) оператори критичної інфраструктури;
17) підприємства, установи та організації незалежно від форми власності, які провадять діяльність, пов’язану із забезпеченням безпеки та стійкості критичної інфраструктури.
Стаття 15. Режими функціонування національної системи захисту критичної інфраструктури
1. Забезпечення захисту та стійкості критичної інфраструктури здійснюється в таких режимах її функціонування:
1) штатний режим - суб’єктами національної системи захисту критичної інфраструктури стосовно оцінки можливих загроз та інформування щодо них. Функціонування інфраструктури здійснюється відповідно до проектного цільового призначення;
2) режим готовності та запобігання реалізації загроз - секторальними та функціональними органами у сфері захисту критичної інфраструктури: проводиться перевірка та переведення системи захисту до готовності забезпечити захист та реагування на випадок реалізації загрози. Функціонування інфраструктури здійснюється відповідно до проектного цільового призначення;
3) режим реагування на виникнення кризової ситуації - суб’єктами національної системи захисту критичної інфраструктури із застосуванням заходів реагування на кризову ситуацію. Функціонування інфраструктури відбувається в режимі кризової ситуації, вводяться обмеження на режими роботи об’єктів інфраструктури, економічні умови господарювання, доступ до об’єктів;
4) режим відновлення штатного функціонування - суб’єктами національної системи захисту критичної інфраструктури: застосовуються заходи щодо повернення параметрів функціонування критичної інфраструктури до штатного режиму. Функціонування інфраструктури здійснюється з обмеженнями відповідно до визначених термінів ліквідації наслідків кризи.
2. Суб’єктами національної системи захисту критичної інфраструктури розробляється план взаємодії з іншими суб’єктами національної системи захисту, який погоджується з уповноваженим органом у сфері захисту критичної інфраструктури України та затверджується Кабінетом Міністрів України і переглядається раз на три роки. У плані взаємодії можуть бути визначені особливості взаємодії для режимів функціонування національної системи захисту критичної інфраструктури.
3. Рішення про оголошення режимів функціонування критичної інфраструктури приймається секторальними органами у сфері захисту критичної інфраструктури, відповідальними за сектор критичної інфраструктури.
Стаття 16. Уповноважений орган у сфері захисту критичної інфраструктури України
1. Уповноважений орган у сфері захисту критичної інфраструктури України забезпечує формування та реалізує державну політику у сфері захисту критичної інфраструктури, здійснює функціональне управління національною системою захисту критичної інфраструктури, забезпечує координацію діяльності міністерств та операторів критичної інфраструктури з питань забезпечення стійкості та захисту об’єктів критичної інфраструктури.
Діяльність уповноваженого органу у сфері захисту критичної інфраструктури України спрямовує, координує та контролює Кабінет Міністрів України.
( Абзац другий частини першої статті 16 в редакції Закону № 2684-IX від 18.10.2022 )
2. Уповноважений орган у сфері захисту критичної інфраструктури України:
1) координує діяльність міністерств, інших центральних та місцевих органів виконавчої влади (військово-цивільних адміністрацій - у разі утворення) у сфері захисту критичної інфраструктури;
2) узагальнює пропозиції суб’єктів національної системи захисту критичної інфраструктури, формує та веде Реєстр;
3) взаємодіє з секторальними, функціональними органами у сфері захисту критичної інфраструктури та операторами критичної інфраструктури з питань забезпечення захисту об’єктів, включених до Реєстру;
4) організовує здійснення оцінки захищеності об’єктів критичної інфраструктури, внесених до Реєстру, аналізує та оцінює загальний стан їх захищеності;
5) проводить оцінку загроз критичній інфраструктурі на національному рівні та оцінку загроз національній безпеці внаслідок реалізації загроз критичній інфраструктурі із залученням секторальних та функціональних органів у сфері захисту критичної інфраструктури;
6) готує щорічну оцінку ризиків і загроз критичній інфраструктурі національного рівня;
7) погоджує проектні ризики та загрози критичній інфраструктурі секторального рівня;
8) готує рекомендації щодо визначення вимог до забезпечення захисту та стійкості секторів критичної інфраструктури відповідно до категорій об’єктів критичної інфраструктури;
9) надає пропозиції Кабінету Міністрів України щодо:
Національного плану захисту та забезпечення стійкості критичної інфраструктури;
порядку розроблення, форми та змісту паспорта безпеки об’єкта критичної інфраструктури;
порядку розроблення, форми та змісту планів заходів щодо захисту критичної інфраструктури, які приймаються на національному рівні;
10) розробляє та затверджує Проектні загрози критичній інфраструктурі національного рівня, що становлять інформацію з обмеженим доступом;
11) готує висновки та рекомендації власнику/оператору критичної інфраструктури щодо зміни права власності, цільового призначення чи режиму функціонування об’єкта критичної інфраструктури;
12) забезпечує функціонування системи обміну інформацією між суб’єктами національної системи захисту критичної інфраструктури;
13) створює бази даних щодо загроз і вразливостей критичній інфраструктурі;
14) забезпечує координацію секторальних органів, підготовку пропозицій до проектів стратегічних документів щодо забезпечення безпеки та стійкості, здійснення захисту критичної інфраструктури - Стратегії національної безпеки України, Стратегії кібербезпеки України та Стратегії громадської безпеки та цивільного захисту України;
15) бере участь у розробленні нової галузі знань, програм навчання, підвищення кваліфікації, робочих і навчальних програм з питань забезпечення стійкості та захисту критичної інфраструктури;
16) здійснює міжнародне співробітництво, забезпечує дотримання і виконання зобов’язань, взятих відповідно до міжнародних договорів України з питань захисту критичної інфраструктури, налагоджує і підтримує зв’язки з міжнародними організаціями, іноземними державами, їх правоохоронними органами і спеціальними службами;
17) здійснює інші повноваження, передбачені цим Законом.
3. Положення про уповноважений орган у сфері захисту критичної інфраструктури затверджується Кабінетом Міністрів України.
( Частина третя статті 16 в редакції Закону № 2684-IX від 18.10.2022 )
Стаття 17. Функціональні органи у сфері захисту критичної інфраструктури
1. Органи державної влади, визначені відповідальними за функціонування окремих державних систем захисту та реагування:
1) беруть участь у встановленому законодавством порядку в реагуванні на кризові ситуації, пов’язані із забезпеченням безпеки та стійкості критичної інфраструктури;
2) готують пропозиції щодо включення об’єктів інфраструктури до Реєстру;
3) формують перелік об’єктів критичної інфраструктури, що належать до сфери їх управління;
4) надають власникам та операторам інфраструктури консультації щодо ризиків і загроз критичній інфраструктурі та заходів щодо їх нейтралізації;
5) здійснюють іншу діяльність для забезпечення стійкості та захисту критичної інфраструктури в межах повноважень, що регулюють діяльність суб’єктів захисту критичної інфраструктури, зокрема:
організовують проведення оцінки загроз та ризиків критичній інфраструктурі у відповідних сферах;
беруть участь у проведенні оцінки загроз та ризиків критичній інфраструктурі на загальнодержавному рівні;
формують пропозиції щодо національних та секторальних проектних ризиків і загроз;
забезпечують організацію взаємодії та обміну інформацією з іншими суб’єктами національної системи захисту критичної інфраструктури;
здійснюють моніторинг рівня безпеки об’єктів критичної інфраструктури у відповідних сферах.
Стаття 18. Особливості діяльності окремих органів, на які покладається формування та/або реалізація державної політики у сфері захисту критичної інфраструктури
1. Діяльність Національного банку України, уповноваженого органу у сфері захисту критичної інфраструктури України, центрального органу виконавчої влади, який забезпечує формування та реалізує державну політику у сфері цивільного захисту, Служби безпеки України, Національної гвардії України, Національної поліції України, Збройних Сил України, Державної спеціальної служби транспорту та Державної служби спеціального зв’язку та захисту інформації України з питань формування та/або реалізації державної політики у сфері захисту критичної інфраструктури здійснюється в рамках, визначених цим Законом, та у порядку, встановленому законами України, що регламентують правові засади організації та діяльності зазначених у цій статті органів.
Стаття 19. Секторальні органи у сфері захисту критичної інфраструктури
1. Державні органи, визначені відповідальними за забезпечення формування та реалізації державної політики у сфері захисту критичної інфраструктури в окремому секторі критичної інфраструктури, здійснюють такі завдання:
1) створюють у межах штатної чисельності у своєму складі структурні підрозділи з питань захисту критичної інфраструктури;
2) збирають, узагальнюють та здійснюють попередній аналіз даних щодо критичної інфраструктури та її функціонування;
3) спільно з операторами критичної інфраструктури здійснюють категоризацію об’єктів критичної інфраструктури своїх секторів критичної інфраструктури, формують секторальні переліки об’єктів критичної інфраструктури, подають інформацію до Реєстру;
4) розробляють та затверджують:
а) вимоги до захисту об’єктів критичної інфраструктури відповідно до їх категорій;
б) проектні загрози критичній інфраструктурі секторального рівня;
в) плани взаємодії функціональних органів у сфері захисту критичної інфраструктури у відповідних секторах для всіх режимів функціонування критичної інфраструктури; плани взаємодії та підтримання життєво важливих функцій на випадок порушення функціонування об’єктів критичної інфраструктури;
5) розробляють та впроваджують норми і регламенти захисту критичної інфраструктури у відповідних секторах критичної інфраструктури;
6) затверджують проектні загрози критичній інфраструктурі об’єктового рівня у відповідних секторах;
7) погоджують паспорти безпеки об’єктів критичної інфраструктури, надані операторами у відповідних секторах;
8) здійснюють:
а) перевірку та оцінку захищеності об’єктів критичної інфраструктури;
б) підготовку пропозицій до проектних ризиків та загроз критичній інфраструктурі національного рівня та щорічної оцінки ризиків і загроз критичній інфраструктурі національного рівня;
в) організацію системи підготовки персоналу, навчання та тренувань щодо забезпечення стійкості та захисту секторів критичної інфраструктури;
г) підготовку щорічного звіту щодо забезпечення захисту критичної інфраструктури у відповідному секторі;
ґ) участь у встановленому законодавством порядку в реагуванні на кризові ситуації, пов’язані з безпекою, захистом та стійкістю об’єктів критичної інфраструктури, а також у створенні умов для належного виконання правоохоронними, розвідувальними та контррозвідувальними органами своїх завдань щодо захисту критичної інфраструктури;
д) попередження про загрози операторів критичної інфраструктури та надають інформаційну, консультативну, експертну, методичну допомогу операторам критичної інфраструктури, користувачам їх послуг (населенню) задля попередження, реагування, мінімізації можливого впливу загроз;
9) надають операторам об’єктів критичної інфраструктури рекомендації з питань захисту критичної інфраструктури та обов’язкові до виконання вимоги щодо усунення причин і умов, які порушують стійкість критичної інфраструктури;
10) виконують:
а) збір, аналіз та узагальнення даних щодо об’єктів критичної інфраструктури та загроз їх функціонуванню;
б) заходи із функціонування відповідних систем обміну інформацією, моніторингу рівня безпеки об’єктів критичної інфраструктури;
11) організовують функціонування системи обміну інформацією та взаємодії у відповідних секторах критичної інфраструктури між суб’єктами національної системи захисту критичної інфраструктури;
12) готують пропозиції до стратегічних документів щодо забезпечення стійкості та захисту критичної інфраструктури.
2. Секторальні органи у сфері захисту критичної інфраструктури щороку відповідно до строків та форми звіту , затверджених Кабінетом Міністрів України, подають інформацію уповноваженому органу у сфері захисту критичної інфраструктури України.
Стаття 20. Місцеві органи виконавчої влади та військово-цивільні адміністрації
1. Місцеві органи виконавчої влади (військово-цивільні адміністрації - у разі утворення) у сфері захисту критичної інфраструктури забезпечують:
1) розроблення та затвердження місцевих програм забезпечення безпеки та стійкості критичної інфраструктури, програм підвищення стійкості територіальних громад до кризових ситуацій, викликаних припиненням або погіршенням надання важливих для їх життєдіяльності послуг чи для здійснення життєво важливих функцій;
2) розроблення, затвердження та погодження із заінтересованими органами:
а) місцевих планів взаємодії залучених суб’єктів у кризовій ситуації з метою підтримання життєво важливих функцій та надання життєво важливих послуг, планів відновлення функціонування критичної інфраструктури;
б) програм навчання населення для забезпечення захисту в разі виникнення режиму реагування на виникнення кризової ситуації та режиму відновлення штатного функціонування.
Стаття 21. Завдання, права та обов’язки операторів критичної інфраструктури
1. Основними завданнями операторів критичної інфраструктури є:
1) забезпечення захисту об’єктів критичної інфраструктури, зокрема створення, налагодження та підтримання функціонування ефективної системи фізичної безпеки, безпеки операційних систем та кібербезпеки;
2) розроблення, оновлення та забезпечення виконання об’єктових планів заходів щодо забезпечення безпеки і стійкості критичної інфраструктури, правил управління ризиками безпеки, планів локалізації та ліквідації наслідків аварій, а також заходів кіберзахисту;
3) проведення оцінки ризиків на об’єктах критичної інфраструктури та обмін інформацією про ризики та загрози з іншими суб’єктами національної системи захисту критичної інфраструктури, а також створення умов для належного виконання правоохоронними, розвідувальними та контррозвідувальними органами своїх завдань щодо захисту критичної інфраструктури;
4) створення окремого структурного підрозділу або визначення відповідальної особи за організацію захисту критичної інфраструктури та забезпечення постійного зв’язку з відповідними суб’єктами національної системи захисту критичної інфраструктури;
5) оперативне реагування на протиправні дії, фізичні атаки, спрямовані на відключення або пошкодження роботи операційних систем чи систем забезпечення фізичної безпеки об’єкта критичної інфраструктури;
6) організація заходів з реагування на інциденти, кризові ситуації, а також ліквідації їх наслідків на об’єктах критичної інфраструктури у взаємодії з іншими суб’єктами національної системи захисту критичної інфраструктури;
7) забезпечення відновлення функціонування об’єктів критичної інфраструктури в разі виникнення аварій та інших небезпечних подій, вчинення протиправних дій;
8) участь у заходах із захисту повітряного простору над визначеними об’єктами критичної інфраструктури;
9) негайне інформування уповноваженого органу у сфері захисту критичної інфраструктури України, органів Національної поліції України, Служби безпеки України, підрозділів Національної гвардії України, інших державних органів про інциденти, пов’язані з порушеннями систем фізичної безпеки та кібербезпеки, а також інформування Служби безпеки України про загрози та ризики диверсій, терористичних актів, актів кібертероризму проти систем управління, операційних та інших систем об’єктів критичної інфраструктури, надзвичайних ситуацій або інших небезпечних подій на важливих державних об’єктах;
10) забезпечення постійного зв’язку з відповідальними за реагування на протиправні дії та з іншими компетентними організаціями та установами;
11) забезпечення постійної взаємодії з підприємствами, які забезпечують централізоване водопостачання, централізоване водовідведення, постачання теплової енергії, енергопостачання, функціонування електронних комунікаційних мереж, транспортне обслуговування, медичну допомогу, безпеку та інші послуги, від яких залежить процес реагування на кризові ситуації та відновлення функціонування об’єктів критичної інфраструктури;
12) створення і використання необхідних резервів фінансових та матеріальних ресурсів для реагування на кризові ситуації та ліквідації їх наслідків;
13) проведення навчань та тренінгів, підготовка та перевірка персоналу, який відповідає за охорону, безпеку та захист об’єктів критичної інфраструктури;
14) захист інформації про системи управління, зв’язку, фізичну безпеку та кібербезпеку, забезпечення відповідно до встановлених законодавством вимог конфіденційності інформації під час оброблення даних про об’єкти критичної інфраструктури;
15) забезпечення захисту персоналу об’єктів критичної інфраструктури, організація та здійснення евакуаційних заходів у разі виникнення надзвичайних ситуацій.
2. Оператори критичної інфраструктури забезпечують розроблення та затвердження у встановленому законодавством порядку:
1) вимог щодо організації захисту об’єктів критичної інфраструктури;
2) посадових інструкцій осіб, відповідальних за організацію та забезпечення захисту об’єктів критичної інфраструктури;
3) проведення навчань та тренінгів, підготовку та перевірку персоналу, який відповідає за охорону, безпеку та захист об’єктів критичної інфраструктури;
4) паспортів безпеки об’єктів критичної інфраструктури.
3. Оператори критичної інфраструктури мають право:
1) отримувати в установленому порядку від уповноважених органів державної влади інформацію про забезпечення безпеки об’єктів критичної інфраструктури;
2) самостійно розробляти заходи щодо забезпечення безпеки об’єктів критичної інфраструктури, що не суперечать вимогам цього Закону та прийнятих відповідно до нього нормативно-правових актів;
3) отримувати від уповноваженого органу у сфері захисту критичної інфраструктури України консультації щодо застосування законодавства у сфері захисту критичної інфраструктури та вжиття необхідних заходів для захисту критичної інфраструктури.
4. Оператори критичної інфраструктури зобов’язані:
1) забезпечити захист об’єктів критичної інфраструктури;
2) невідкладно поінформувати відповідальних суб’єктів національної системи захисту критичної інфраструктури (секторальні та функціональні органи) про інциденти, що сталися на об’єктах критичної інфраструктури, які належать їм на праві власності або на іншій законній підставі;
3) завчасно, але не менше ніж за 30 календарних днів до дати зміни стану об’єкта критичної інфраструктури або його частини, інформувати уповноважений орган у сфері захисту критичної інфраструктури України про наміри змінити цільове призначення, режим функціонування чи намір передати права на об’єкт критичної інфраструктури та виконувати надані їм висновки та рекомендації;
