доповнити пунктом 7 такого змісту:
"7) Міністерство закордонних справ України сприяє розвитку євроінтеграційних процесів щодо підходів, методів, засобів забезпечення кібербезпеки, здійсненню узгоджених із ключовими міжнародними партнерами заходів, спрямованих на посилення кіберстійкості України та розвиток спроможностей національної системи кібербезпеки; забезпечує координацію діяльності щодо співпраці з міжнародними партнерами для спільної відповіді на кібератаки і подолання кризових ситуацій у кібербезпеці; забезпечує активну участь України в діяльності міжнародних організацій щодо спільного вироблення норм поведінки у кіберпросторі та вдосконалення відповідної міжнародної нормативно-правової бази; сприяє проведенню спільних з Європейським Союзом заходів, спрямованих на підвищення стійкості в кіберпросторі та спроможності розслідувати і переслідувати кіберзлочинність та реагувати на кіберзагрози; координує процес запровадження гармонізованого з євроатлантичною спільнотою підходу до застосування санкцій у відповідь на підривну діяльність у кіберпросторі, узгодження з міжнародними партнерами механізму спільних дипломатичних дій і заходів у відповідь на деструктивну кіберактивність; виконує інші завдання відповідно до закону";
у частині третій:
пункти 1 і 2 викласти в такій редакції:
"1) формування та оперативної адаптації державної політики у сфері кібербезпеки, кіберзахисту з урахуванням наявних або потенційних ризиків, впровадження кращих практик та досягнення сумісності з відповідними стандартами Європейського Союзу та НАТО;
2) запровадження нормативно-правового регулювання у сфері кібербезпеки, кіберзахисту з урахуванням ризик-орієнтованого підходу, чіткого розподілу ролей, завдань, функцій та відповідальності публічного сектору, операторів критичної інфраструктури та власників або розпорядників об’єктів критичної інформаційної інфраструктури, а також галузевої специфіки, гармонізації практик та стандартів з Європейським Союзом та НАТО";
пункт 3 виключити;
пункти 4-8 викласти в такій редакції:
"4) запровадження заходів стимулювання розвитку та конкурентоспроможності індустрії послуг та продуктів у сфері кібербезпеки в Україні;
5) залучення експертного потенціалу приватного сектору, наукових установ, професійних та громадських об’єднань до розроблення проектів щодо стратегічного планування, державної політики, проектів нормативно-правових актів, нормативних документів, стандартів та методичних рекомендацій у сфері кібербезпеки;
6) систематичного проведення навчань з питань кіберзахисту для осіб, які в межах своєї компетенції безпосередньо здійснюють заходи з кіберзахисту в органах державної влади, органах місцевого самоврядування, що є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури;
7) функціонування системи оцінювання стану кіберзахисту в органах державної влади, державних органах, органах місцевого самоврядування, державних підприємствах, господарських товариствах, 50 і більше відсотків акцій (часток) яких належать державі, державних наукових установах та закладах вищої освіти, щодо об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури;
8) розвитку мережі команд реагування на кіберінциденти, кіберзагрози на національному, галузевому та регіональному рівнях, у тому числі із залученням приватних команд реагування";
пункт 10 виключити;
пункти 12, 15 і 17 викласти в такій редакції:
"12) функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози та національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози";
"15) впровадження організаційно-технічної моделі кіберзахисту національної системи кібербезпеки";
"17) застосування інструментів та механізмів державно-приватної взаємодії для виконання завдань у сфері кібербезпеки, включаючи, але не обмежуючись, функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, заходи кіберзахисту та захисту інформації; запровадження загальної системи або індивідуальних програм моніторингу, аналізу, координації дій, у тому числі під час реагування на кіберінциденти; усунення наслідків, здійснення заходів з відновлення; організації та здійснення заходів з підготовки кадрів, підвищення рівня знань і навичок, проведення навчань, розроблення та реалізації освітніх і просвітницьких програм; здійснення досліджень та нових розробок; забезпечення функціонування центрів кібербезпеки та їхніх сервісів; розроблення програмних документів та нормативно-правових актів у сфері кібербезпеки, а також для вирішення інших завдань у сфері кібербезпеки, що можуть бути вирішені шляхом державно-приватної взаємодії";
доповнити пунктами 26 і 27 такого змісту:
"26) планування витрат та фінансування органами державної влади, державними органами, органами місцевого самоврядування, операторами критичної інфраструктури, власниками або розпорядниками об’єктів критичної інформаційної інфраструктури заходів кіберзахисту, передбачених законодавством;
27) проведення інструктажів та систематичних тренінгів щодо кібергігієни для членів уряду України, народних депутатів України, працівників патронатних служб, депутатів місцевих рад, державних службовців, військовослужбовців, працівників органів державної влади та державних органів, керівників та працівників державних підприємств, установ та організацій, систематичність та порядок проведення яких встановлюються Кабінетом Міністрів України";
частину п’яту викласти в такій редакції:
"5. Впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки здійснюється Державним центром кіберзахисту, який забезпечує створення, функціонування та розвиток:
1) системи захищеного доступу державних органів до мережі Інтернет;
2) Національного центру резервування державних інформаційних ресурсів;
3) Центру антивірусного захисту інформації;
4) системи виявлення вразливостей, а також здійснення для органів державної влади, державних органів, органів місцевого самоврядування, власників або розпорядників критичної інформаційної інфраструктури, операторів критичної інфраструктури моніторингу мереж, сканування мережевих, інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем з метою виявлення вразливостей, які можуть мати значний вплив;
5) системи реагування на кіберінциденти, кібератаки, кіберзагрози щодо об’єктів кіберзахисту.
Державний центр кіберзахисту проводить систематичні навчання з питань кіберзахисту, а також у взаємодії з іншими суб’єктами забезпечення кібербезпеки розробляє сценарії реагування на кіберзагрози, заходи щодо протидії таким загрозам, програми та методики проведення кібернавчань; проводить оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем органів державної влади, державних органів, органів місцевого самоврядування, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури";
пункт 4 частини шостої виключити;
доповнити частиною сьомою такого змісту:
"7. Розроблення та застосування платних, безоплатних умов пошуку та/або виявлення потенційних вразливостей в інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об’єктах критичної інформаційної інфраструктури здійснюються відповідно до порядку пошуку та/або виявлення потенційних вразливостей, встановленого Кабінетом Міністрів України.
Складовою порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об’єктах критичної інформаційної інфраструктури мають бути порядок розроблення та проведення програм пошуку і виявлення вразливостей за винагороду та порядок узгодженого розкриття вразливостей";
8) статтю 9 викласти в такій редакції:
"Стаття 9. Національна система реагування на кіберінциденти, кібератаки, кіберзагрози
1. В Україні створюється та забезпечується функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури.
2. Уповноваженим органом, що забезпечує функціонування національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, є Державна служба спеціального зв’язку та захисту інформації України.
3. До складу національної системи реагування на кіберінциденти, кібератаки, кіберзагрози входять:
1) CERT-UA - національна команда реагування на кіберінциденти, кібератаки, кіберзагрози (національний CSIRT), діяльність якої забезпечується Державною службою спеціального зв’язку та захисту інформації України та завданнями якої є:
моніторинг, накопичення та проведення аналізу даних про кіберінциденти, кібератаки, кіберзагрози на національному, галузевому, регіональному рівнях, динамічний аналіз ризиків та ситуаційної обізнаності;
отримання та опрацювання у встановленому порядку обов’язкових та інших повідомлень про кіберінциденти, здійснених у межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози відповідно до цього Закону, надання рекомендацій щодо можливих заходів реагування та технічної підтримки (у разі потреби);
здійснення у встановленому порядку заходів щодо надання попереджень про кіберзагрози, сповіщень, оголошень та інформування щодо кіберінцидентів, кібератак, кіберзагроз та вразливостей органів державної влади, державних органів, органів місцевого самоврядування, операторів критичної інфраструктури, власників та розпорядників критичної інформаційної інфраструктури у режимі, за можливості, наближеному до реального часу;
надання у встановленому порядку сервісу у зв’язку з реагуванням, рекомендацій з реагування на кіберінциденти, кібератаки, кіберзагрози власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, операторам критичної інфраструктури, власникам або розпорядникам критичної інформаційної інфраструктури, іншим суб’єктам (у разі потреби);
виконання функції координатора з метою узгодженого розкриття вразливостей;
інформування у встановленому законодавством порядку Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України про кіберінциденти, кібератаки, кіберзагрози, виявлені або потенційні вразливості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також об’єктів критичної інформаційної інфраструктури із зазначенням обов’язкових та/або рекомендованих заходів реагування для видання вимоги про реагування;
проведення аналізу ризиків у зв’язку з кіберінцидентом, кібератакою, кіберзагрозою та надання відповідних рекомендацій;
забезпечення у встановленому порядку функціонування репозитарію інформації про кіберінциденти, таксономій кіберінцидентів та їх версій;
взаємодія у встановленому порядку з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози;
взаємодія у встановленому порядку із суб’єктами національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози;
взаємодія у встановленому порядку з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності в межах, необхідних для виконання ними повноважень, визначених законом;
виконання функцій національного контактного центру відповідно до Директиви Європейського Союзу щодо мережевої та інформаційної безпеки (NIS 2 Directive);
взаємодія з іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози, зокрема в рамках участі у Форумі команд реагування на інциденти безпеки FIRST із сплатою щорічних членських внесків;
взаємодія у встановленому порядку із суб’єктами приватного сектору, у тому числі з іноземними суб’єктами господарювання, з питань реагування на кіберінциденти, кібератаки, кіберзагрози.
Порядок взаємодії національної команди реагування на кіберінциденти, кібератаки, кіберзагрози з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності затверджується Кабінетом Міністрів України;
2) галузеві та регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози (далі - галузеві, регіональні CSIRT) - створюються органами державної влади або органами місцевого самоврядування з метою посилення спроможності національної системи реагування на кіберінциденти, кібератаки, кіберзагрози у відповідній галузі, сфері або відповідному регіоні з урахуванням вимог до організаційно-технічної спроможності, встановлених Державною службою спеціального зв’язку та захисту інформації України, та взаємодіють з правоохоронними, розвідувальними та контррозвідувальними органами, суб’єктами оперативно-розшукової діяльності, іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози в порядку, встановленому Кабінетом Міністрів України.
Альтернативою створення органами державної влади або органами місцевого самоврядування власних галузевих, регіональних CSIRT є залучення послуг приватних команд реагування, що можуть виконувати у повному обсязі або частково завдання галузевого, регіонального CSIRT відповідно до цього Закону та за умови дотримання ними встановлених законодавством вимог до таких галузевих, регіональних CSIRT.
Галузевим, регіональним CSIRT у порядку, визначеному Державною службою спеціального зв’язку та захисту інформації України, делегуються від національного CSIRT завдання щодо:
моніторингу та проведення аналізу даних про інциденти кібербезпеки, кібератаки, кіберзагрози у відповідній галузі або відповідному регіоні, динамічного аналізу ризиків та ситуаційної обізнаності;
отримання та опрацювання у встановленому порядку обов’язкових та інших повідомлень про кіберінциденти у відповідній галузі або відповідному регіоні, отриманих у межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози згідно з цим Законом, надання рекомендацій щодо можливих заходів реагування та технічної підтримки (у разі потреби);
здійснення у встановленому порядку заходів щодо надання попереджень про кіберзагрози, сповіщень, оголошень та інформування щодо кіберінцидентів, кібератак, кіберзагроз та вразливостей у відповідній галузі або відповідному регіоні у режимі, за можливості, наближеному до реального часу;
надання у встановленому порядку сервісу у зв’язку з реагуванням, рекомендацій з реагування на кіберінциденти, кібератаки, кіберзагрози у відповідній галузі або відповідному регіоні.
Галузеві, регіональні CSIRT або приватні команди реагування, що виконують їхні завдання, здійснюють у встановленому законодавством порядку обмін інформацією з іншими суб’єктами національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, координують свою діяльність та інформують CERT-UA і Ситуаційний центр забезпечення кібербезпеки Служби безпеки України про відповідні заходи реагування.
Державна служба спеціального зв’язку та захисту інформації України має право надавати вимоги про усунення порушень у діяльності галузевого, регіонального CSIRT у разі невідповідності вимогам щодо організаційно-технічної спроможності або порушення порядку функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози або національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
Команда реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT-NBU, що входить до складу Центру кіберзахисту Національного банку України, є галузевим CSIRT та діє у складі національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з урахуванням постанов Національного банку України в частині, що не суперечить цьому Закону.
Центр кіберзахисту Міністерства оборони України (MIL.CERT-UA) є галузевим CSIRT та діє у складі національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з урахуванням організаційно-розпорядчих актів Міністерства оборони України в частині, що не суперечить цьому Закону;
3) Національна поліція України, Служба безпеки України - взаємодіють у рамках національної системи реагування на кіберінциденти, кібератаки, кіберзагрози з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози в порядку, встановленому Кабінетом Міністрів України, з урахуванням вимог цього Закону та в межах повноважень, визначених законом.
Служба безпеки України забезпечує функціонування Ситуаційного центру забезпечення кібербезпеки Служби безпеки України та регіональних центрів забезпечення кібербезпеки регіональних органів Служби безпеки України для виконання завдань щодо протидії шпигунству, тероризму, диверсіям та в межах повноважень, визначених законом, протидії іншим кіберзагрозам у сфері державної безпеки;
4) приватні команди реагування - можуть залучатися для надання операторам критичної інфраструктури, власникам або розпорядникам критичної інформаційної інфраструктури, органам державної влади та органам місцевого самоврядування окремих послуг, пов’язаних з реагуванням на кіберінциденти, виконання окремих завдань галузевих, регіональних CSIRT, а також взаємодіяти з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, у тому числі щодо обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, за умови організаційно-технічної спроможності та в порядку, встановленому Державною службою спеціального зв’язку та захисту інформації України.
Суб’єкти національної системи реагування на кіберінциденти, кібератаки, кіберзагрози забезпечують відповідно до законодавства захист інформації з обмеженим доступом, отриманої під час здійснення ними своєї діяльності, та несуть кримінальну, адміністративну, цивільно-правову відповідальність за неправомірне розголошення, неправомірне розкриття, неправомірне використання та інші неправомірні дії з такою інформацією відповідно до закону.
Державна служба спеціального зв’язку та захисту інформації України та Служба безпеки України з метою вжиття заходів оперативного реагування на кіберінциденти, кібератаки, кіберзагрози в межах своїх повноважень можуть надавати обов’язкові до виконання вимоги про реагування власникам або розпорядникам інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, операторам критичної інфраструктури.
Таке оперативне реагування шляхом надання вимоги про реагування на кіберінциденти, кібератаки, кіберзагрози є актом організаційно-розпорядчого характеру, не є заходом державного контролю за технічним захистом інформації та кіберзахистом та здійснюється з метою запобігання або мінімізації негативних наслідків у зв’язку з кіберінцидентом, кібератакою або кіберзагрозою.
Власники або розпорядники інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, оператори критичної інфраструктури, власники або розпорядники об’єктів критичної інформаційної інфраструктури зобов’язані вжити визначених вимогою про реагування на кіберінциденти, кібератаки, кіберзагрози заходів та подати звіт про результати вжитих заходів у строки та порядку, встановлені Державною службою спеціального зв’язку та захисту інформації України.
Підстави для надання вимоги про реагування на кіберінциденти, кібератаки, кіберзагрози, строки та порядок подання звіту про результати вжитих заходів встановлюються Державною службою спеціального зв’язку та захисту інформації України;
5) Національний координаційний центр кібербезпеки - здійснює загальну координацію функціонування суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.
Суб’єкти національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, крім приватних компаній, що не здійснюють функцій галузевих, регіональних CSIRT, забезпечують у порядку, визначеному для функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, невідкладне інформування Національного координаційного центру кібербезпеки про всі значні кіберінциденти, кібератаки.
Для забезпечення скоординованого, оперативного та ефективного реагування на кризову ситуацію у зв’язку з кіберінцидентом, кібератакою, кіберзагрозою у складі Національного координаційного центру кібербезпеки утворюється та функціонує постійно діюча Об’єднана група реагування на кіберінциденти, кібератаки, кіберзагрози, до складу якої входять представники Національного координаційного центру кібербезпеки, Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України, Національної поліції України та представники інших основних суб’єктів національної системи кібербезпеки (за обґрунтованої необхідності).
Керівником Об’єднаної групи реагування на кіберінциденти, кібератаки, кіберзагрози, який затверджує її персональний склад та порядок роботи з урахуванням визначених законом компетенції та повноважень її учасників, є заступник керівника Національного координаційного центру кібербезпеки";
9) доповнити статтею 9-1 такого змісту:
"Стаття 9-1. Національна система обміну інформацією про кіберінциденти, кібератаки, кіберзагрози
1. В Україні створюється та забезпечується функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури.
2. Уповноваженим органом, що забезпечує функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, є Державна служба спеціального зв’язку та захисту інформації України (далі - Уповноважений орган).
Уповноважений орган визначає порядок обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, форми здійснення повідомлень про кіберінциденти, кібератаки, кіберзагрози з урахуванням обмежень, що унеможливлюють розкриття розвідувальної інформації, національну таксономію кіберінцидентів, впроваджує організаційно-технічні заходи щодо створення національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, забезпечує функціонування платформи обміну відповідною інформацією та визначає порядок приєднання до такої платформи.
3. Власники або розпорядники інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про всі кіберінциденти.
Власники або розпорядники об’єктів критичної інформаційної інфраструктури зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про всі значні кіберінциденти.
Органи державної влади, державні органи, органи місцевого самоврядування, які не є власниками або розпорядниками критичної інформаційної інфраструктури та отримали інформацію про кіберінцидент щодо критичної інформаційної інфраструктури, зобов’язані в порядку, визначеному Уповноваженим органом для функціонування національної системи обміну інформацією про кіберінциденти, кіберзагрози, кібератаки, повідомляти відповідний CSIRT про такі кіберінциденти.
Встановлення законом для суб’єктів, що здійснюють обробку інших категорій інформації з обмеженим доступом, зобов’язань щодо надання обов’язкових повідомлень про кіберінциденти, кібератаки є підставою для приєднання у встановленому порядку до національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози згідно з цим Законом.
Суб’єкти, для яких законом не встановлені зобов’язання щодо надання обов’язкових повідомлень про кіберінциденти, кібератаки, мають право приєднатися до національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та здійснювати добровільний обмін відповідною інформацією згідно із національною таксономією кіберінцидентів у порядку, визначеному Уповноваженим органом.
4. Усі обов’язкові повідомлення про кіберінциденти, кібератаки, кіберзагрози подаються суб’єктами, визначеними цією статтею, у строки та порядку, встановлені Уповноваженим органом.
5. Уповноважений орган визначає критерії значного кіберінциденту для цілей надання операторами критичної інфраструктури, власниками або розпорядниками критичної інформаційної інфраструктури обов’язкових повідомлень про кіберінциденти, кібератаки, а також для цілей інформування Національного координаційного центру кібербезпеки командами реагування згідно з цим Законом.
6. Посадові особи власників або розпорядників інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, посадові особи операторів критичної інфраструктури, власників або розпорядників об’єктів критичної інформаційної інфраструктури несуть адміністративну відповідальність відповідно до закону за невиконання або невиконання у встановлені строки обов’язку щодо здійснення обов’язкових повідомлень про кіберінциденти, кібератаки.
7. Інформація про кіберінцидент, кібератаку щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури та про їхні наслідки є відкритою інформацією, крім інформації про характер, технічні характеристики, інші деталі кіберінциденту, кібератаки, що віднесена до інформації з обмеженим доступом.
Критерії віднесення інформації про характер, технічні та інші деталі кіберінциденту, кібератаки до інформації з обмеженим доступом, перелік підстав, порядок та мета розкриття такої інформації, у тому числі службової інформації для обміну в межах функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози, порядок публічного інформування або звітування про реагування на кіберінциденти, кібератаки, порядок усунення їх наслідків затверджуються Кабінетом Міністрів України.
Інформація, одержана національним, галузевим, регіональним CSIRT або приватною командою реагування, що виконує завдання галузевих, регіональних CSIRT відповідно до цього Закону, використовується ними виключно в цілях та в порядку, що визначаються законодавством щодо функціонування національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та забезпечують належні умови обробки та захисту одержаної інформації";
10) статтю 15 доповнити частиною четвертою такого змісту:
"4. Державна служба спеціального зв’язку та захисту інформації України здійснює державний контроль за додержанням вимог законодавства у сфері кіберзахисту відповідно до законодавства.
Порядок здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту встановлюється Кабінетом Міністрів України".
5. Частину першу статті 11 Закону України "Про публічні електронні реєстри" (Відомості Верховної Ради України, 2023 р., № 11, ст. 27) доповнити пунктом 6-1 такого змісту:
"6-1) організаційно забезпечує створення, модернізацію, модифікацію, розвиток програмного забезпечення Платформи, здійснення заходів, необхідних для його адміністрування та забезпечення функціонування, можливість використання програмного забезпечення Платформи для створення, ведення та адміністрування реєстрів у порядку, встановленому Кабінетом Міністрів України".
II. Прикінцеві положення
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування, крім підпункту 5 пункту 4 розділу I цього Закону, який набирає чинності через шість місяців з дня його опублікування.
2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом:
забезпечити прийняття нормативно-правових актів, необхідних для реалізації цього Закону;
привести свої нормативно-правові акти у відповідність із цим Законом;
забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.
3. Кабінету Міністрів України у 2025 році поінформувати Верховну Раду України про стан виконання цього Закону.
| Президент України | В. ЗЕЛЕНСЬКИЙ |
| м. Київ 27 березня 2025 року № 4336-IX | |