( Частина п'ята статті 8 в редакції Закону № 4336-IX від 27.03.2025 )
6. Органи державної влади, військові формування, утворені відповідно до законів України, державні підприємства, установи та організації з метою усунення можливих наслідків кіберінцидентів та кібератак створюють резервні копії національних електронних інформаційних ресурсів, що перебувають у їх володінні або розпорядженні та є критичними для їх сталого функціонування, та передають їх на зберігання до Національного центру резервування державних інформаційних ресурсів, крім тих, передача яких обмежена законодавством. Порядок передачі, збереження і доступу до зазначених копій визначається Кабінетом Міністрів України.
Національний центр резервування державних інформаційних ресурсів забезпечує:
1) безперервність роботи відповідного національного електронного інформаційного ресурсу, резервного копіювання інформації та відомостей національного електронного інформаційного ресурсу через єдині основний та резервний захищені центри обробки даних (дата-центри), призначені для обробки національних електронних інформаційних ресурсів, резервного копіювання національних електронних інформаційних ресурсів;
2) надійне функціонування серверного обладнання, системи зберігання даних, активного мережевого обладнання, архітектурно-технічних рішень щодо резервного копіювання й дублювання інформаційних систем, постійно працюючої інженерної інфраструктури;
3) здійснення обов’язкового контролю за статистичними даними роботи з фізичного захисту об’єктів, системи управління та моніторингу інформаційних систем, комплексу організаційних заходів;
( Пункт 4 частини шостої статті 8 виключено на підставі Закону № 4336-IX від 27.03.2025 )
5) переміщення протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування резервних копій національних електронних інформаційних ресурсів до електронних комунікаційних мереж закордонних дипломатичних установ України в порядку, встановленому Кабінетом Міністрів України.
( Частину шосту статті 8 доповнено пунктом 5 згідно із Законом № 2130-IX від 15.03.2022 )
( Статтю 8 доповнено частиною шостою згідно із Законом № 1907-IX від 18.11.2021 )
7. Розроблення та застосування платних, безоплатних умов пошуку та/або виявлення потенційних вразливостей в інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об’єктах критичної інформаційної інфраструктури здійснюються відповідно до порядку пошуку та/або виявлення потенційних вразливостей, встановленого Кабінетом Міністрів України.
Складовою порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об’єктах критичної інформаційної інфраструктури мають бути порядок розроблення та проведення програм пошуку і виявлення вразливостей за винагороду та порядок узгодженого розкриття вразливостей.
( Статтю 8 доповнено частиною сьомою згідно із Законом № 4336-IX від 27.03.2025 )
Стаття 9. Національна система реагування на кіберінциденти, кібератаки, кіберзагрози
1. В Україні створюється та забезпечується функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури.
2. Уповноваженим органом, що забезпечує функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, є Державна служба спеціального зв’язку та захисту інформації України.
3. До складу національної системи реагування на кіберінциденти, кібератаки, кіберзагрози входять:
1) CERT-UA - національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (національний CSIRT), діяльність якої забезпечується Державною службою спеціального зв’язку та захисту інформації України та завданнями якої є:
моніторинг, накопичення та проведення аналізу даних про кіберінциденти, кібератаки, кіберзагрози на національному, галузевому, регіональному рівнях, динамічний аналіз ризиків та ситуаційної обізнаності;
отримання та опрацювання у встановленому порядку обов’язкових та інших повідомлень про кіберінциденти, здійснених у межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози відповідно до цього Закону, надання рекомендацій щодо можливих заходів реагування та технічної підтримки (у разі потреби);
здійснення у встановленому порядку заходів щодо надання попереджень про кіберзагрози, сповіщень, оголошень та інформування щодо кіберінцидентів, кібератак, кіберзагроз та вразливостей органів державної влади, державних органів, органів місцевого самоврядування, операторів критичної інфраструктури, власників та розпорядників критичної інформаційної інфраструктури у режимі, за можливості, наближеному до реального часу;
надання у встановленому порядку сервісу у зв’язку з реагуванням, рекомендацій з реагування на кіберінциденти, кібератаки, кіберзагрози власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, операторам критичної інфраструктури, власникам або розпорядникам критичної інформаційної інфраструктури, іншим суб’єктам (у разі потреби);
виконання функції координатора з метою узгодженого розкриття вразливостей;
інформування у встановленому законодавством порядку Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України про кіберінциденти, кібератаки, кіберзагрози, виявлені або потенційні вразливості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також об’єктів критичної інформаційної інфраструктури із зазначенням обов’язкових та/або рекомендованих заходів реагування для видання вимоги про реагування;
проведення аналізу ризиків у зв’язку з кіберінцидентом, кібератакою, кіберзагрозою та надання відповідних рекомендацій;
забезпечення у встановленому порядку функціонування репозитарію інформації про кіберінциденти, таксономій кіберінцидентів та їх версій;
взаємодія у встановленому порядку з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;
взаємодія у встановленому порядку із суб’єктами національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;
взаємодія у встановленому порядку з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності в межах, необхідних для виконання ними повноважень, визначених законом;
виконання функцій національного контактного центру відповідно до Директиви Європейського Союзу щодо мережевої та інформаційної безпеки (NIS 2 Directive);
взаємодія з іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози, зокрема в рамках участі у Форумі команд реагування на інциденти безпеки FIRST із сплатою щорічних членських внесків;
взаємодія у встановленому порядку із суб’єктами приватного сектору, у тому числі з іноземними суб’єктами господарювання, з питань реагування на кіберінциденти, кібератаки, кіберзагрози.
Порядок взаємодії національної команди реагування на кіберінциденти, кібератаки, кіберзагрози з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності затверджується Кабінетом Міністрів України;
2) галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози (далі - галузеві, регіональні CSIRT) - створюються органами державної влади або органами місцевого самоврядування з метою посилення спроможності національної системи реагування на кіберінциденти, кібератаки, кіберзагрози у відповідній галузі, сфері або відповідному регіоні з урахуванням вимог до організаційно-технічної спроможності, встановлених Державною службою спеціального зв’язку та захисту інформації України, та взаємодіють з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності, іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози в порядку, встановленому Кабінетом Міністрів України.
Альтернативою створення органами державної влади або органами місцевого самоврядування власних галузевих, регіональних CSIRT є залучення послуг приватних команд реагування, що можуть виконувати у повному обсязі або частково завдання галузевого, регіонального CSIRT відповідно до цього Закону та за умови дотримання ними встановлених законодавством вимог до таких галузевих, регіональних CSIRT.
Галузевим, регіональним CSIRT у порядку, визначеному Державною службою спеціального зв’язку та захисту інформації України, делегуються від національного CSIRT завдання щодо:
моніторингу та проведення аналізу даних про інциденти кібербезпеки, кібератаки, кіберзагрози у відповідній галузі або відповідному регіоні, динамічного аналізу ризиків та ситуаційної обізнаності;
отримання та опрацювання у встановленому порядку обов’язкових та інших повідомлень про кіберінциденти у відповідній галузі або відповідному регіоні, отриманих у межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози згідно з цим Законом, надання рекомендацій щодо можливих заходів реагування та технічної підтримки (у разі потреби);
здійснення у встановленому порядку заходів щодо надання попереджень про кіберзагрози, сповіщень, оголошень та інформування щодо кіберінцидентів, кібератак, кіберзагроз та вразливостей у відповідній галузі або відповідному регіоні у режимі, за можливості, наближеному до реального часу;
надання у встановленому порядку сервісу у зв’язку з реагуванням, рекомендацій з реагування на кіберінциденти, кібератаки, кіберзагрози у відповідній галузі або відповідному регіоні.
Галузеві, регіональні CSIRT або приватні команди реагування, що виконують їхні завдання, здійснюють у встановленому законодавством порядку обмін інформацією з іншими суб’єктами національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, координують свою діяльність та інформують CERT-UA і Ситуаційний центр забезпечення кібербезпеки Служби безпеки України про відповідні заходи реагування.
Державна служба спеціального зв’язку та захисту інформації України має право надавати вимоги про усунення порушень у діяльності галузевого, регіонального CSIRT у разі невідповідності вимогам щодо організаційно-технічної спроможності або порушення порядку функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози або національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
Команда реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT-NBU, що входить до складу Центру кіберзахисту Національного банку України, є галузевим CSIRT та діє у складі національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з урахуванням постанов Національного банку України в частині, що не суперечить цьому Закону.
Центр кіберзахисту Міністерства оборони України (MIL.CERT-UA) є галузевим CSIRT та діє у складі національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з урахуванням організаційно-розпорядчих актів Міністерства оборони України в частині, що не суперечить цьому Закону;
3) Національна поліція України, Служба безпеки України - взаємодіють у рамках національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози в порядку, встановленому Кабінетом Міністрів України, з урахуванням вимог цього Закону та в межах повноважень, визначених законом.
Служба безпеки України забезпечує функціонування Ситуаційного центру забезпечення кібербезпеки Служби безпеки України та регіональних центрів забезпечення кібербезпеки регіональних органів Служби безпеки України для виконання завдань щодо протидії шпигунству, тероризму, диверсіям та в межах повноважень, визначених законом, протидії іншим кіберзагрозам у сфері державної безпеки;
4) приватні команди реагування - можуть залучатися для надання операторам критичної інфраструктури, власникам або розпорядникам критичної інформаційної інфраструктури, органам державної влади та органам місцевого самоврядування окремих послуг, пов’язаних з реагуванням на кіберінциденти, виконання окремих завдань галузевих, регіональних CSIRT, а також взаємодіяти з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, у тому числі щодо обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, за умови організаційно-технічної спроможності та в порядку, встановленому Державною службою спеціального зв’язку та захисту інформації України.
Суб’єкти національної системи реагування на кіберінциденти, кібератаки, кіберзагрози забезпечують відповідно до законодавства захист інформації з обмеженим доступом, отриманої під час здійснення ними своєї діяльності, та несуть кримінальну, адміністративну, цивільно-правову відповідальність за неправомірне розголошення, неправомірне розкриття, неправомірне використання та інші неправомірні дії з такою інформацією відповідно до закону.
Державна служба спеціального зв’язку та захисту інформації України та Служба безпеки України з метою вжиття заходів оперативного реагування на кіберінциденти, кібератаки, кіберзагрози в межах своїх повноважень можуть надавати обов’язкові до виконання вимоги про реагування власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, операторам критичної інфраструктури.
Таке оперативне реагування шляхом надання вимоги про реагування на кіберінциденти, кібератаки, кіберзагрози є актом організаційно-розпорядчого характеру, не є заходом державного контролю за технічним захистом інформації та кіберзахистом та здійснюється з метою запобігання або мінімізації негативних наслідків у зв’язку з кіберінцидентом, кібератакою або кіберзагрозою.
Власники або розпорядники інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, оператори критичної інфраструктури, власники або розпорядники об’єктів критичної інформаційної інфраструктури зобов’язані вжити визначених вимогою про реагування на кіберінциденти, кібератаки, кіберзагрози заходів та подати звіт про результати вжитих заходів у строки та порядку, встановлені Державною службою спеціального зв’язку та захисту інформації України.
Підстави для надання вимоги про реагування на кіберінциденти, кібератаки, кіберзагрози, строки та порядок подання звіту про результати вжитих заходів встановлюються Державною службою спеціального зв’язку та захисту інформації України;
5) Національний координаційний центр кібербезпеки - здійснює загальну координацію функціонування суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
Суб’єкти національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, крім приватних компаній, що не здійснюють функцій галузевих, регіональних CSIRT, забезпечують у порядку, визначеному для функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, невідкладне інформування Національного координаційного центру кібербезпеки про всі значні кіберінциденти, кібератаки.
Для забезпечення скоординованого, оперативного та ефективного реагування на кризову ситуацію у зв’язку з кіберінцидентом, кібератакою, кіберзагрозою у складі Національного координаційного центру кібербезпеки утворюється та функціонує постійно діюча Об’єднана група реагування на кіберінциденти, кібератаки, кіберзагрози, до складу якої входять представники Національного координаційного центру кібербезпеки, Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України, Національної поліції України та представники інших основних суб’єктів національної системи кібербезпеки (за обґрунтованої необхідності).
Керівником Об’єднаної групи реагування на кіберінциденти, кібератаки, кіберзагрози, який затверджує її персональний склад та порядок роботи з урахуванням визначених законом компетенції та повноважень її учасників, є заступник керівника Національного координаційного центру кібербезпеки.
( Стаття 9 в редакції Закону № 4336-IX від 27.03.2025 )
Стаття 9-1. Національна система обміну інформацією про кіберінциденти, кібератаки, кіберзагрози
1. В Україні створюється та забезпечується функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури.
2. Уповноваженим органом, що забезпечує функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, є Державна служба спеціального зв’язку та захисту інформації України (далі - Уповноважений орган).
Уповноважений орган визначає порядок обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, форми здійснення повідомлень про кіберінциденти, кібератаки, кіберзагрози з урахуванням обмежень, що унеможливлюють розкриття розвідувальної інформації, національну таксономію кіберінцидентів, впроваджує організаційно-технічні заходи щодо створення національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, забезпечує функціонування платформи обміну відповідною інформацією та визначає порядок приєднання до такої платформи.
3. Власники або розпорядники інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про всі кіберінциденти.
Власники або розпорядники об’єктів критичної інформаційної інфраструктури зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про всі значні кіберінциденти.
Органи державної влади, державні органи, органи місцевого самоврядування, які не є власниками або розпорядниками критичної інформаційної інфраструктури та отримали інформацію про кіберінцидент щодо критичної інформаційної інфраструктури, зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про такі кіберінциденти.
Встановлення законом для суб’єктів, що здійснюють обробку інших категорій інформації з обмеженим доступом, зобов’язань щодо надання обов’язкових повідомлень про кіберінциденти, кібератаки є підставою для приєднання у встановленому порядку до національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози згідно з цим Законом.
Суб’єкти, для яких законом не встановлені зобов’язання щодо надання обов’язкових повідомлень про кіберінциденти, кібератаки, мають право приєднатися до національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та здійснювати добровільний обмін відповідною інформацією згідно із національною таксономією кіберінцидентів у порядку, визначеному Уповноваженим органом.
4. Усі обов’язкові повідомлення про кіберінциденти, кібератаки, кіберзагрози подаються суб’єктами, визначеними цією статтею, у строки та порядку, встановлені Уповноваженим органом.
5. Уповноважений орган визначає критерії значного кіберінциденту для цілей надання операторами критичної інфраструктури, власниками або розпорядниками критичної інформаційної інфраструктури обов’язкових повідомлень про кіберінциденти, кібератаки, а також для цілей інформування Національного координаційного центру кібербезпеки командами реагування згідно з цим Законом.
6. Посадові особи власників або розпорядників інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, посадові особи операторів критичної інфраструктури, власників або розпорядників об’єктів критичної інформаційної інфраструктури несуть адміністративну відповідальність відповідно до закону за невиконання або невиконання у встановлені строки обов’язку щодо здійснення обов’язкових повідомлень про кіберінциденти, кібератаки.
7. Інформація про кіберінцидент, кібератаку щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури та про їхні наслідки є відкритою інформацією, крім інформації про характер, технічні характеристики, інші деталі кіберінциденту, кібератаки, що віднесена до інформації з обмеженим доступом.
Критерії віднесення інформації про характер, технічні та інші деталі кіберінциденту, кібератаки до інформації з обмеженим доступом, перелік підстав, порядок та мета розкриття такої інформації, у тому числі службової інформації для обміну в межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, порядок публічного інформування або звітування про реагування на кіберінциденти, кібератаки, порядок усунення їх наслідків затверджуються Кабінетом Міністрів України.
Інформація, одержана національним, галузевим, регіональним CSIRT або приватною командою реагування, що виконує завдання галузевих, регіональних CSIRT відповідно до цього Закону, використовується ними виключно в цілях та в порядку, що визначаються законодавством щодо функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та забезпечують належні умови обробки та захисту одержаної інформації.
( Закон доповнено статтею 9-1 згідно із Законом № 4336-IX від 27.03.2025 )
Стаття 10. Державно-приватна взаємодія у сфері кібербезпеки
1. Державно-приватна взаємодія у сфері кібербезпеки здійснюється шляхом:
1) створення системи своєчасного виявлення, запобігання та нейтралізації кіберзагроз, у тому числі із залученням волонтерських організацій;
2) підвищення цифрової грамотності громадян та культури безпекового поводження в кіберпросторі, комплексних знань, навичок і вмінь, необхідних для підтримки цілей кібербезпеки, реалізації державних і громадських проектів з підвищення рівня обізнаності суспільства щодо кіберзагроз та кіберзахисту;
3) обміну інформацією між державними органами, приватним сектором і громадянами щодо кіберзагроз об’єктам критичної інфраструктури, інших кіберзагроз, кібератак та кіберінцидентів;
4) партнерства та координації команд реагування на комп’ютерні надзвичайні події;
5) залучення експертного потенціалу, наукових установ, професійних об’єднань та громадських організацій до підготовки ключових галузевих проектів та нормативних документів у сфері кібербезпеки;
6) надання консультативної та практичної допомоги з питань реагування на кібератаки;
7) формування ініціатив та створення авторитетних консультаційних пунктів для громадян, представників промисловості та бізнесу з метою забезпечення безпеки в мережі Інтернет;
8) запровадження механізму громадського контролю ефективності заходів із забезпечення кібербезпеки;
9) періодичного проведення національного саміту з професійними постачальниками бізнес-послуг, включаючи страховиків, аудиторів, юристів, визначення їхньої ролі у сприянні кращому управлінню ризиками у сфері кібербезпеки;
10) створення системи підготовки кадрів та підвищення компетентності фахівців різних сфер діяльності з питань кібербезпеки;
11) тісної взаємодії з фізичними особами, громадськими та волонтерськими організаціями, ІТ-компаніями з метою виконання заходів кібероборони в кіберпросторі.
2. Державно-приватна взаємодія у сфері кібербезпеки застосовується з урахуванням встановлених законодавством особливостей правового режиму щодо окремих об’єктів та окремих видів діяльності.
Стаття 11. Сприяння суб’єктам забезпечення кібербезпеки України
Державні органи та органи місцевого самоврядування, їх посадові особи, підприємства, установи та організації незалежно від форми власності, особи, громадяни та об’єднання громадян зобов’язані сприяти суб’єктам забезпечення кібербезпеки, повідомляти відомі їм дані щодо загроз національній безпеці з використанням кіберпростору або будь-яких інших кіберзагроз об’єктам кібербезпеки, кібератак та/або обставин, інформація про які може сприяти запобіганню, виявленню і припиненню таких загроз, протидії кіберзлочинам, кібератакам та мінімізації їх наслідків.
Стаття 12. Відповідальність за порушення законодавства у сфері кібербезпеки
Особи, винні у порушенні законодавства у сферах національної безпеки, електронних комунікацій та захисту інформації, якщо кіберпростір є місцем та/або способом здійснення кримінального правопорушення, іншого винного діяння, відповідальність за яке передбачена цивільним, адміністративним, кримінальним законодавством, несуть відповідальність згідно із законом.
( Стаття 12 із змінами, внесеними згідно із Законом № 720-IX від 17.06.2020 )
Стаття 13. Фінансове забезпечення заходів кібербезпеки
Джерелами фінансування робіт і заходів із забезпечення кібербезпеки та кіберзахисту є кошти державного і місцевих бюджетів, власні кошти суб’єктів господарювання, кредити банків, кошти міжнародної технічної допомоги та інші джерела, не заборонені законодавством.
Стаття 14. Міжнародне співробітництво у сфері кібербезпеки
1. Україна відповідно до укладених нею міжнародних договорів здійснює співробітництво у сфері кібербезпеки з іноземними державами, їх правоохоронними органами і спеціальними службами, а також з міжнародними організаціями, які здійснюють боротьбу з міжнародною кіберзлочинністю.
2. Україна відповідно до міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України, може брати участь у спільних заходах із забезпечення кібербезпеки, зокрема у проведенні спільних навчань суб’єктів сектору безпеки і оборони в рамках заходів колективної оборони з дотриманням вимог законів України "Про порядок направлення підрозділів Збройних Сил України до інших держав" та "Про порядок допуску та умови перебування підрозділів збройних сил інших держав на території України".
3. Відповідно до законодавства України у сфері зовнішніх зносин суб’єкти забезпечення кібербезпеки у межах своїх повноважень можуть здійснювати міжнародну співпрацю у сфері кібербезпеки безпосередньо на двосторонній або багатосторонній основі.
4. Інформацію з питань, пов’язаних із боротьбою з міжнародною кіберзлочинністю, Україна надає іноземній державі на підставі запиту, додержуючись вимог законодавства України та її міжнародно-правових зобов’язань. Така інформація може бути надана без попереднього запиту іноземної держави, якщо це не перешкоджає проведенню досудового розслідування чи судового розгляду справи і може сприяти компетентним органам іноземної держави у припиненні кібератаки, своєчасному виявленні і припиненні кримінального правопорушення з використанням кіберпростору.
Стаття 15. Контроль за законністю заходів із забезпечення кібербезпеки України
1. Контроль за дотриманням законодавства при здійсненні заходів із забезпечення кібербезпеки здійснюється Верховною Радою України в порядку, визначеному Конституцією України.
Парламентський контроль за дотриманням законодавства про захист персональних даних та доступ до публічної інформації у сфері кібербезпеки здійснюється Уповноваженим Верховної Ради України з прав людини.
2. Контроль за діяльністю із забезпечення кібербезпеки суб’єктів сектору безпеки і оборони, інших державних органів здійснюється Президентом України та Кабінетом Міністрів України в порядку, визначеному Конституцією і законами України.
3. Незалежний аудит діяльності основних суб’єктів національної кібербезпеки, визначених частиною другою статті 8 цього Закону, щодо ефективності системи забезпечення кібербезпеки держави проводиться щороку згідно з міжнародними стандартами аудиту.
Звіти про результати проведення незалежного аудиту діяльності основних суб’єктів національної кібербезпеки, визначених частиною другою статті 8 цього Закону, щодо ефективності системи забезпечення кібербезпеки держави за попередній рік подаються Президентові України, Верховній Раді України та Кабінету Міністрів України у сорокап’ятиденний строк після закінчення календарного року.
Комітет Верховної Ради України, до предмета відання якого належать питання національної безпеки і оборони, та Комітет Верховної Ради України, до предмета відання якого належать питання інформатизації та зв’язку, на своїх засіданнях розглядають звіти основних суб’єктів національної кібербезпеки, визначених частиною другою статті 8 цього Закону, про результати незалежного аудиту їхньої діяльності щодо ефективності системи забезпечення кібербезпеки держави.
Основні суб’єкти національної кібербезпеки, визначені частиною другою статті 8 цього Закону, подають один раз на рік звіти про стан виконання ними заходів з питань забезпечення кібербезпеки держави, віднесених до їх компетенції, які мають містити, зокрема, інформацію про результати проведення незалежного аудиту їхньої діяльності.
За результатами розгляду звітів основних суб’єктів національної кібербезпеки Комітет Верховної Ради України, до предмета відання якого належать питання інформатизації та зв’язку, може порушити питання про розгляд цих питань Верховною Радою України.
4. Державна служба спеціального зв’язку та захисту інформації України здійснює державний контроль за додержанням вимог законодавства у сфері кіберзахисту відповідно до законодавства.
Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту встановлюється Кабінетом Міністрів України.
( Статтю 15 доповнено частиною четвертою згідно із Законом № 4336-IX від 27.03.2025 )
ПРИКІНЦЕВІ ТА ПЕРЕХІДНІ ПОЛОЖЕННЯ
1. Цей Закон набирає чинності через шість місяців з дня його опублікування.
2. Внести зміни до таких законів України:
1) статтю 7 Закону України "Про Національний банк України" (Відомості Верховної Ради України, 1999 р., № 29, ст. 238 із наступними змінами) доповнити пунктами 32 і 33 такого змісту:
"32) визначає порядок, вимоги та заходи із забезпечення кіберзахисту та інформаційної безпеки у банківській системі України та для суб’єктів переказу коштів, здійснює контроль за їх виконанням; утворює центр кіберзахисту Національного банку України, забезпечує функціонування системи кіберзахисту у банківській системі України;
33) забезпечує формування та ведення переліку об’єктів критичної інфраструктури, а також реєстру об’єктів критичної інформаційної інфраструктури у банківській системі України, визначає критерії та порядок віднесення об’єктів у банківській системі України до об’єктів критичної інфраструктури та об’єктів критичної інформаційної інфраструктури, забезпечує проведення оцінювання стану кіберзахисту та аудиту інформаційної безпеки у банківській системі України";
2) у Законі України "Про оборону України" (Відомості Верховної Ради України, 2000 р., № 49, ст. 420; 2011 р., № 4, ст. 27; 2015 р., № 16, ст. 110; 2016 р., № 33, ст. 564):
а) статтю 3 після абзацу дев’ятнадцятого доповнити новим абзацом такого змісту:
"здійснення заходів з кібероборони (активного кіберзахисту) для захисту суверенітету держави та забезпечення її обороноздатності, запобігання збройному конфлікту та відсічі збройній агресії".
У зв’язку з цим абзац двадцятий вважати абзацом двадцять першим;
б) друге речення частини другої статті 4 доповнити словами "у тому числі проведення спеціальних операцій (розвідувальних, інформаційно-психологічних тощо) у кіберпросторі";
( Підпункт 3 пункту 2 розділу втратив чинність на підставі Закону № 912-IX від 17.09.2020 )( Підпункт 4 пункту 2 розділу втратив чинність на підставі Закону № 2469-VIII від 21.06.2018 )
5) абзац шостий статті 3 Закону України "Про Службу зовнішньої розвідки України" (Відомості Верховної Ради України, 2006 р., № 8, ст. 94) після слів "національній безпеці України" доповнити словами "у тому числі у кіберпросторі";
6) у Законі України "Про Державну службу спеціального зв’язку та захисту інформації України" (Відомості Верховної Ради України, 2014 р., № 25, ст. 890, № 29, ст. 946):
а) частину першу статті 2 та абзац другий частини першої статті 3 після слів "криптографічного та технічного захисту інформації" доповнити словом "кіберзахисту";
б) у частині першій статті 14:
пункт 39 після слів "забезпечення функціонування" доповнити словом "урядової";
доповнити пунктами 85-92 такого змісту:
"85) формування та реалізація державної політики щодо захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, кіберзахисту критичної інформаційної інфраструктури, здійснення державного контролю у цих сферах;
86) координація діяльності суб’єктів забезпечення кібербезпеки щодо кіберзахисту;
87) забезпечення створення та функціонування Національної телекомунікаційної мережі;
88) впровадження організаційно-технічної моделі кіберзахисту, здійснення організаційно-технічних заходів із запобігання, виявлення та реагування на кіберінциденти і кібератаки та усунення їх наслідків;
89) інформування про кіберзагрози та відповідні методи захисту від них;
90) забезпечення впровадження системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури, встановлення вимог до аудиторів інформаційної безпеки, їх атестації (переатестації);
91) координація, організація та проведення аудиту захищеності комунікаційних і технологічних систем об’єктів критичної інфраструктури на вразливість;
92) забезпечення функціонування Державного центру кіберзахисту".
3. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом:
забезпечити прийняття нормативно-правових актів, необхідних для реалізації цього Закону;
привести свої нормативно-правові акти у відповідність із цим Законом;
забезпечити перегляд і скасування міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів, що суперечать цьому Закону.
| Президент України | П.ПОРОШЕНКО |
| м. Київ 5 жовтня 2017 року № 2163-VIII | |